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Editorial 


Der 25.05.2018 liegt hinter uns. Wir leben im Zeitalter der Datenschutzgrundverord- 
nung. Und jetzt? 


In den letzten Wochen (vor und auch seit dem 25.05.2018) hat sich Hektik breit ge- 
macht in Deutschland, in Europa und in der Welt. Facebook hat kurz vor der Anwend- 
barkeit der Datenschutzgrundverordnung (DSGVO) noch schnell ca. 1,5 Milliarden 
Nutzerkonten aus irischen Rechenzentren in andere Rechenzentren weltweit verscho- 
ben, um diese in Zukunft nicht nach der DSGVO verarbeiten zu müssen. 


Webseitenbetreiberhaben aus Angstvor Abmahnungen ihre Webseiten zum 25.05.2018 
abgeschaltet. Viele Menschen in Deutschland haben sich über Unmengen an Mails in 
ihren Posteingängen gewundert, die sie darüber informierten, dass sie ohne Einwilli- 
gung leider nicht mehr Mails vom Absender bekommen könnten. 


Datenschutzbeauftragte scheinen gefühlt zu einer extrem raren Spezies geworden zu 
sein, denn fast überall wird geklagt, dass der Markt der Datenschutzbeauftragten und 
-berater abgegrast ist und dass auch niemand mehr für Datenschutz qualifizierte Mit- 
arbeiter auf dem freien Arbeitsmarkt findet. 


Nun stellt sich also die Frage „Und jetzt?”, wie geht es weiter im Datenschutz? 


In der vorliegenden DANA-Ausgabe widmen sich unsere Autoren Themen, die alle in 
diese Zeit des Umbruchs passen und sich an dieser Frage abarbeiten - entweder weil 
sie den aktuellen Zustand beschreiben (Thilo Weichert - Die Umsetzung der DSGVO in 
Deutschland), weil sie neue Thematiken erklären (Anne Riechert - Das neue Recht auf 
Datenübertragbarkeit aus Sicht der Betroffenen), weil sie alte Fragestellungen nach 
dem neuen Recht betrachten (Robert Zieske - Der Betriebsrat als datenschutzrecht- 
licher „Verantwortlicher“ im Sinne der DSGVO) oder weil sie schlicht und ergreifend 
Hinweise zur Umsetzung geben wollen (Philipp Schmidtke - Vereine unter der DSGVO). 


Außerdem wird vom BigBrotherAward 2018 berichtet, das EuGH-Urteil zu Facebook- 


Fanpages kommentiert und die aktuelle Presseerklärung der DVD zur gescheiterten 
Wahl des neuen Landesdatenschutzbeauftragten in Sachsen-Anhalt abgedruckt. 


Abgeschlossen wird das vorliegende Heft wie üblich mit Datenschutz- und Tech- 
niknachrichten, aktueller Rechtsprechung und Buchbesprechungen. 


Und allebehandelten Themen zeigen uns, dass der Umbruch noch lange nicht beendet 
ist, dass die unruhigen Zeiten uns wohl noch einige Zeit begleiten werden. 


Ich wünsche Ihnen eine interessante Lektüre für die Soemmertage. 


Frank Spaeing 


Autorinnen und Autoren dieser Ausgabe: 


Heinz Alenfelder 
Vorstandsmitglied in der DVD, 
alenfelder@datenschutzverein.de, Köln 


Prof. Dr. Anne Riechert 
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Philipp Schmidtke 
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philipp.schmidtke@ds-quadrat.de 


Dr. Thilo Weichert 
Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise, 
weichert@datenschutzverein.de, Kiel 


Robert Zieske 
Datenschutzjurist und Referent bei der Deutschen Kreditbank AG, 
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Thilo Weichert 


Die Umsetzung der DSGVO in Deutschland 


Die Umsetzung europäischen Rechts 
in den einzelnen EU-Mitgliedstaaten 
wird bestimmt durch die jeweilige na- 
tionale Geschichte vor dem Entste- 
hen der europäischen Rechtsnormen, 
durch regionale Einflussnahmen auf 
die EU-Gesetzgebung, durch inner- 
staatliche Debatten sowie die adminis- 
trative und gerichtliche Anwendung 
der Regelungen. Bei der Europäischen 
Datenschutz-Grundverordnung (DS- 
GVO) kommt als weiterer Aspekt das 
Erlassen flankierender (umsetzender) 
nationaler Gesetze hinzu, für die es 
angesichts der vielen Spezifizierungs- 
bzw. Öffnungsklauseln in der DSGVO 
einen großen Spielraum gibt. 


1 Vorgeschichte 


Die deutsche Geschichte des Daten- 
schutzes ist schillernd und geht weit 
zurück. Sie beeinflusste die Geschichte 
des Datenschutzes generell. Wesentli- 
che Impulse für den Datenschutz in Eu- 
ropa und global wurden in Deutschland 
durch Bundesländer gesetzt. 

Die Vorgeschichte beginnt nicht erst 
im Jahr 1970, als in Hessen das welt- 
weit erste moderne Datenschutzgesetz 
erlassen wurde‘, sondern erheblich 
früher. Eine Quelle liegt in der juristi- 
schen Entwicklung eines allgemeinen 
Persönlichkeitsrechts durch die Recht- 
sprechung des Reichsgerichts und 
später des Bundesgerichtshofes (BGH) 
in Form von speziellen Ausprägungen 
und Differenzierungen. So wurde das 
Recht am eigenen Bild im Jahr 1907 im 
Kunsturhebergesetz normiert. Es folg- 
te das Recht am gesprochenen Wort. 
Im berühmten Herrenreiterurteil des 
BGH aus dem Jahr 1958? entwickelte 
das höchste deutsche Zivilgericht jen- 
seits der klassischen Einteilung von öf- 
fentlicher, sozialer und intimer Sphäre 
aus dem Persönlichkeitsrecht einen 
Anspruch auf Selbstvermarktung. Da- 
mit wurden rechtliche Grundlagen ge- 
schaffen, die sich vom üblichen Privat- 
sphärenschutz absetzen, wie erz.B.in 
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Art. 12 der Allgemeinen Erklärung der 
Menschenrechte vom 10.12.1948 de- 
finiert wird mit dem Schutz des Men- 
schen vor „willkürlichen Eingriffen in 
sein Privatleben, seine Familie, sein 
Heim oder seinen Briefwechsel”. Das 
Konzept des Schutzes der Privatheit 
bzw. von Privacy, wie es in der Men- 
schenrechtserklärung normiert ist, 
ist bis heute z. B. in den USA vorherr- 
schend, auch wenn es - als ausschließ- 
liches Schutzkonzept - spätestens seit 
der informationstechnischen Entwick- 
lung in den 70er Jahren des letzten 
Jahrhundert nicht mehr passt und im- 
mer weniger zeitgemäß wird. 

Es ist interessant, dass in den USA 
eher als in Europa, mit dem Aufsatz von 
Samuel D. Warren und Louis D. Brandeis 
zum „Right to Privacy“?, ein modernes 
Verständnis ausgearbeitet und insbe- 
sondere von Alan F. Westin in den 60er 
Jahren‘ weiterentwickelt wurde. Dieser 
Ansatz der „information privacy” ge- 
gen „data surveillance“, der sich in den 
USA aber bis heute nicht durchsetzen 
konnte, wurde vom deutschen Recht 
teilweise rezipiert. Prägend für die Wei- 
terentwicklung des allgemeinen Per- 
sönlichkeitsrechts zu einem Recht auf 
Datenschutz war in Deutschland in den 
60er Jahren zudem die kritische Auf- 
arbeitung des Nationalsozialismus, der 
Informationstechnik nutzte, um ethni- 
sche, kulturelle und politische Minder- 
heiten zu erfassen, zu unterdrücken, zu 
verfolgen und zu vernichten. Vor die- 
sem historischen Hintergrund entstand 
1971 das Gutachten „Grundfragen des 
Datenschutzes” von Steinmüller und 
anderen, das die Basis für die deutsche 
Gesetzgebung legte. Diese nahm als 
Ausgangspunkt nicht die Privatsphäre, 
sondern das personenbezogene Datum.’ 

Die weitere deutsche Entwicklung 
wurde vielfach beschrieben und kann 
weitgehend als bekannt vorausgesetzt 
werden.‘ Meilensteine waren dabei das 
Volkszählungsurteil des Bundesverfas- 
sungsgerichts aus dem Jahr 1983’ sowie 
die Etablierung der Datenschutzgesetze 


in den Ländern und auf Bundesebene, 
nach der Vereinigung 1990 auch in den 
neuen Bundesländern. Erneut war die 
Erfahrung mit einem totalitären Ge- 
sellschaftsmodell, das der DDR, in der 
staatliche Überwachung eine zentrale 
Rolle spielte, förderlich für die Adaption 
eines demokratisch und freiheitlich ver- 
standenen Datenschutzes. 

Die Erarbeitung der europäischen Da- 
tenschutzrichtlinie, die 1996 in Kraft 
trat,® war stark von der deutschen Ge- 
setzgebung geprägt. Es flossen zudem 
Mechanismen aus anderen Staaten ein, 
etwa die Idee der Selbstrequlierung 
durch Verhaltensregeln oder das Verbot 
automatisierter Einzelentscheidungen. 
Schon bei der Umsetzung der EG-Daten- 
schutzrichtlinie von 1996 zeigte sich, 
dass die nationale Politik der Bundesre- 
gierung nicht danach strebte, die Richt- 
linie optimal umzusetzen. Erst drei Jah- 
renach dervorgegebenen Frist, nämlich 
2001, wurde ein Bundesdatenschutzge- 
setz verabschiedet, das wenig innovativ 
und eher bürokratisch war.’ 

Zuvor waren es wieder die Bundeslän- 
der, die inhaltlich die Richtung vorga- 
ben. In den ersten Jahren der deutschen 
Datenschutzgesetzgebung war Hessen 
unter dem Einfluss von Spiros Simitis 
wegweisend und inspirierend. Nach der 
EG-Richtlinie 1995 war es Schleswig- 
Holstein, das unter dem Einfluss von 
Helmut Bäumler im Jahr 2000 inno- 
vative und moderne Elemente ins Da- 
tenschutzrecht einführte: Das dortige 
Landesdatenschutzgesetz enthielt ei- 
nen umfassenden Verarbeitungsbegriff, 
eine Regelung zu Datenvermeidung und 
Datensparsamkeit, sah Gütesiegel- und 
Auditverfahren und ein strukturiertes 
Verfahren bei der Einführung neuer In- 
formationstechnik (IT) mit Dokumenta- 
tion, Test und Freigabe vor, regelte den 
technischen Datenschutz technikneu- 
tral über Schutzziele, benannte explizit 
spezielle Sicherungsmaßnahmen wie 
z. B. die Verschlüsselung, normierte 
gemeinsame Verfahren, mobile Systeme 
und die Internetveröffentlichung, privi- 
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legierte die pseudonyme Datenverarbei- 
tung und ergänzte das Aufsichtsregime 
um Service-, Beratungs- und Zertifizie- 
rungsfunktionen.'? In der Praxis kamen 
Forschungsaktivitäten der Aufsichtsbe- 
hörde hinzu. Vieles von dem, was 2000 
in Schleswig-Holstein Gesetz und Praxis 
wurde, war damals weltweit einzigartig 
und findet sich heute in der DSGVO wie- 
der. Keines dieser Instrumente wurde 
von der Bundespolitik bei der Ausarbei- 
tung der DSGVO offensiv gefördert, Eini- 
ges aber zumindest aufgegriffen (z. B. 
Datensparsamkeit, Audits, Definition 
der Pseudonymisierung). 

Der bisher letzte innovative Impuls, 
der aus Deutschland hinsichtlich des 
digitalen Grundrechtsschutzes kam, 
stammte nicht aus der Politik, sondern 
vom Bundesverfassungsgericht, das 
2008 analog zum Schutz der räumlichen 
Privatsphäre in Art. 13 GG oder der so- 
zialen Privatsphäre der Familie in Art. 6 
GG einen besonders schützenswerten 
Bereich digitaler Privatsphäre in Form 
des Grundrechts auf Gewährleistung 
der Vertraulichkeit und Integrität in- 
formationstechnischer Systeme schuf.'! 
Positive gesetzgeberische Konsequen- 
zen wurden aus diesem Urteil bis heute 
nicht gezogen. 

Bezeichnend ist, dass auch in an- 
deren Bereichen des digitalen Grund- 
rechtsschutzes nicht der Bundes-, son- 
dern die Landesgesetzgeber innovati- 
onsfördernd waren bzw. sind. So ist in 
Deutschland bisher nur in Brandenburg 
ein allgemeines Recht auf Informati- 
onszugang verfassungsrechtlich veran- 
kert.'? Auch das deutsche Bundesver- 
fassungsgericht verweigert sich hier 
der grundgesetzlichen Anerkennung 
neuer Informationsrechte, die für eine 
demokratische Informationsgesell- 
schaft essenziell sind. In diesem Fall 
waren es die Bundesländer Branden- 
burg (1998), Berlin (1999), Schleswig- 
Holstein (2000) und Nordrhein-West- 
falen (2001), bevor auch der Bund zu- 
mindest auf einfachgesetzlicher Ebene 
einen Anspruch auf Zugang zu hoheit- 
lichen Informationen normierte. Vor- 
bilder waren politisch insofern die USA 
und die skandinavischen Länder’’; in 
der Rechtsprechung sind dies der Euro- 
päische Gerichtshof in Luxemburg und 
der Europäische Gerichtshof für Men- 
schenrechte in Straßburg. 
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2 Die Verabschiedung der DSGVO 


Mit dem Beginn der Diskussion über 
die DSGVO 2012 verlagerte sich der 
Schwerpunkt der Datenschutzdiskussi- 
on vollständig nach Brüssel bzw. nach 
Europa. Insbesondere die zuständige 
Kommissarin Viviane Reding und der 
Berichterstatter im EU-Parlament Jan- 
Philipp Albrecht sorgten dafür, dass Sa- 
botageversuche von Gegnern digitaler 
Grundrechte abgewehrt und eine fort- 
schrittliche Gesetzgebung vorangetrie- 
ben wurden. 

Die deutsche Politik stellte sich an die 
Spitze der Saboteure. Durch ihre inner- 
halb und außerhalb der EU-Institutio- 
nen vorgetragenen Bedenken und die 
politische Querschüsse war insbeson- 
dere die Bundesregierung dafür verant- 
wortlich, dass sich die Verabschiedung 
der DSGVO verzögerte. Inhaltliche Ver- 
suche der Verwässerung wurden von 
den EU-Gremien zurückgewiesen. Es 
wurde versucht, anstelle einer direkt 
anwendbaren Verordnung lediglich eine 
einen allgemeinen Rahmen festlegende 
Richtlinie durchzusetzen. Der Bundes- 
rat demonstrierte mit einer Subsidiari- 
tätsrüge sein provinzielles Verständnis 
vom Datenschutz. Der damalige Bun- 
desinnenminister Hans-Peter Friedrich 
brachte anstelle der staatlichen Regu- 
lierung privatwirtschaftliche Selbstre- 
gulierung ins Gespräch. Sein Ministe- 
rium veranstaltete Symposien und Ta- 
gungen, in denen Wirtschaftsvertreter 
das Wort führten, die für den privaten 
Bereich die Abschaffung des Gesetzes- 
vorbehalts forderten. Ironischerweise 
erfolgte dieser Widerstand gegen die 
DSGVO mit dem Verweis auf die angeb- 
lich so fortschrittliche deutsche Daten- 
schutzgesetzgebung, die sich seit 2001 
nur wenig weiterentwickelt und nicht 
modernisiert hatte. Noch Ende 2015, 
wenige Tage vor dem Abschluss des Tri- 
logs zwischen Kommission, Parlament 
und Europäischem Rat, profilierte sich 
die Spitze der Bundesregierung mit An- 
gela Merkel, Siegmar Gabriel und Alex- 
ander Dobrindt parteiübergreifend mit 
Angriffen auf die in der DSGVO vorge- 
sehene Zweckbindung und das Prinzip 
der Datensparsamkeit. Beseelt von Ein- 
drücken aus Pilgerfahrten ins Silicon 
Valley erklärten sie unisono, mit Zweck- 
bindung und Datensparsamkeit würden 


die Entfaltung der IT-Wirtschaft in Euro- 
pa und die Entwicklung des segensrei- 
chen Big Data behindert. Um das „Öl des 
21. Jahrhunderts“, personenbezogene 
Daten, nutzbar zu machen, müsse die 
Zweckbindung aufgeweicht und „Da- 
tenreichtum“ praktiziert werden.'* 

Von derartigen Angriffen relativ un- 
beeindruckt einigten sich die europä- 
ischen Institutionen nicht nur auf ein 
Präzisierung der Datensparsamkeit und 
der Zweckbindung, sondern auf weitere 
zeitgemäße Instrumente des digitalen 
Grundrechtsschutzes in einer globali- 
sierten Informationsgesellschaft: har- 
monisierte verbindliche Regelungen, 
Marktortprinzip, One-Stop-Shop für Un- 
ternehmen und Betroffene, verbesserte 
Betroffenentransparenz, „Privacy by 
Default” und „Privacy by Design“, gene- 
relle Anwendbarkeit der Datenschutz- 
Folgenabschätzung, rechtssicherere 
Drittlands-Datentransfers, verbesserte 
Beschwerde- und Rechtsschutzmög- 
lichkeiten, wirksame Sanktionen. 


3 Wider eine unabhängige und wirk- 
same Datenschutzkontrolle 


Man sollte erwarten, dass die deut- 
sche Politik, die sich gegenüber dem 
europäischen Gesetzgeber nicht durch- 
setzen konnte, nun den von der EU ge- 
setzten rechtlichen Rahmen akzeptie- 
ren und umsetzen würde. Doch erleben 
wir bei der Umsetzung der DSGVO wie 
auch der zeitgleich verabschiedeten 
Datenschutzrichtlinie für Polizei und 
Justiz eher das Gegenteil: Was in Brüs- 
sel erreicht wurde, versuchen Berlin 
und einige Landeshauptstädte wieder 
zurückzuschrauben. Einfallstore hier- 
für sind die vielen Öffnungsklauseln. 
Die von der Bundespolitik vorgegebene 
Strategie ist offensichtlich: Wenn schon 
viele materielle Regelungen von Europa 
festgelegt sind, so kann deren Anwen- 
dung prozedural beschränkt werden. 
Die Politik beschreitet dabei nicht nur 
den Weg über die Haushalte, indem die 
Aufsichtsbehörden so schwach ausge- 
stattet werden, dass sie mangels Perso- 
nal und Ressourcen den Anforderungen 
zur Gesetzesumsetzung schlicht nicht 
genügen können. Diese Strategie wird 
vor vielen Bundesländern mit erschre- 
ckender Konsequenz verfolgt. Verblüf- 
fend ist, dass lammfromme Beauftragte 


69 


wie z.B. auf Bundesebene für ihre Zahn- 
losigkeit zumindest mit einem gewissen 
Ressourcenzuwachs belohnt wurden. 
Die Aufsichtsbehörde in Hamburg, zu- 
ständig in Deutschland für Google, Fa- 
cebook und viele weitere große Unter- 
nehmen, soll ihre Aufgabe künftig mit 
insgesamt 25 Stellen stemmen - ein ab- 
surdes Ansinnen!" 

Ungenügende Ausstattung scheint 
aber als Rückversicherung nicht zu ge- 
nügen, um den Vollzug der DSGVO zu 
behindern. Dank der Lobbyarbeit ins- 
besondere von Anwaltsverbänden wur- 
de die gesamte Datenschutzprüfung im 
Bereich von Berufsgeheimnissen in & 29 
Abs. 3 BDSGso reguliert, dass umfassen- 
de Kontrollen unmöglich gemacht wer- 
den können. Entgegen der deutschen 
Gesetzeslage wurde der Staatsanwalt- 
schaft justizielle Unabhängigkeit zuge- 
sprochen und diese so von Aufsichts- 
kontrollen freigestellt.‘ Dem Landes- 
gesetzgeber in Niedersachsen genügte 
selbst dies nicht. Er erklärte gleich das 
gesamte strafrechtliche Ermittlungsver- 
fahren einschließlich der polizeilichen 
Datenerhebung, Speicherung und Aus- 
wertung für kontrollfrei.”’ Dass es sich 
bei der Verarbeitung von Berufsgeheim- 
nissen sowie bei strafrechtlichen Er- 
mittlungen um persönlichkeitsrechtlich 
besonders intensive Eingriffe handelt 
und insofern das BVerfG eine besonders 
intensive Prüfung einforderte”*, ließ die 
jeweiligen Gesetzgeber kalt. Diese nah- 
men damit sehenden Auges einen Ver- 
stoß gegen deutsches Verfassungsrecht 
und zugleich auch einen Verstoß gegen 
die bedingungslos formulierte unab- 
hängige Kontrollzusicherung in Art. 8 
Abs. 3 Grundrechte-Charta in Kauf. 

Auch gegen die Unabhängigkeit der 
Datenschutzaufsicht fand der deut- 
sche Gesetzgeber wirksame Vorkehrun- 
gen. So ignorieren Bund wie Länder 
das europarechtliche Erfordernis eines 
transparenten Bestellungsverfahrens. 
Die bisherigen Geheimprozesse bei der 
Auswahl der Behördenleitungen wer- 
den fortgeschrieben. Die Notwendig- 
keit einer Ausschreibung sowie einer 
öffentliche Diskussion über die Auswahl 
ist nirgends vorgesehen. Die Besetzung 
der Stellen war schon bisher oft davon 
bestimmt, verdiente Politiker zu versor- 
gen und auf Kompetenz und Erfahrung 
der Kandidaten zu verzichten. Dies ist 
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zwar künftig im EU-Recht ausdrücklich 
verboten. Ob dies auch umgesetzt wird, 
muss sich zeigen. 

Ein Angriff auf die Unabhängigkeit 
enthält auch die Repräsentanz Deutsch- 
lands im europaweit zentralen Daten- 
schutzgremium - dem Europäischen 
Datenschutzausschuss (EDSA). Während 
der Vorsitz bei der Bundesbeauftragten 
liegen soll, die nach deutschem föde- 
ralen Recht nur einen eingeschränkten 
Zuständigkeitsbereich hat und insbeson- 
dere nicht für die Aufsicht in der Privat- 
wirtschaft zuständig ist, wird die Vertre- 
tung der Landesaufsicht im EDSA - unter 
Missachtung von deren Unabhängigkeit 
- politisch vom Bundesrat bestimmt.” 

Der Angriff auf die föderale Struktur 
der unabhängigen Datenschutzaufsicht 
beschränkt sich nicht hierauf: Viel- 
mehr wird zentralisiert, wo es nur geht: 
Schon in den Jahren 2011/2012 wurde 
die Aufsicht für wesentliche Sozialbe- 
reiche (Arbeitslosenverwaltung, Kran- 
kenkassen) von den Ländern auf den 
Bund übertragen.?' Die nächste Kompe- 
tenzbeschneidung der Länderaufsicht 
erfolgte 2017 für die Finanzverwaltung. 
Derart stellt das Bundesfinanzministeri- 
um sicher, dass es sich nicht mehr mit 
missliebiger Kritik der Landesaufsicht 
an Datenschutzverstößen der Steuer- 
behörden, etwa durch die Verweigerung 
des Auskunftsrechtes, auseinanderset- 
zen muss. Obwohl hier weitestgehend 
Landesbehörden tätig werden, wurde 
die Aufsicht einfach der Bundesbeauf- 
tragten zugeschlagen.?? 

Die Datenschutzkontrolle wird zu- 
dem durch die Beschneidung der Ab- 
hilfebefugnisse behindert, die - so das 
EU-Recht - wirksam sein müssten. Tat- 
sächlich verzichtet das BDSG hierauf 
explizit im gesamten Telekommuni- 
kations- und Postbereich.” Statt den 
potenziell hohen Bußgeld-Sanktionen, 
wie sie in der DSGVO vorgesehen sind, 
soll hier als schärfstes Schwert wei- 
terhin die zumeist völlig unwirksame 
förmliche Beanstandung zur Anwen- 
dung kommen. Dem folgend sehen die 
deutschen Datenschutzgesetze künftig 
auch keine wirksamen Sanktionen ge- 
genüber öffentlichen Stellen vor. Es ist 
eine geradezu klassische Erfahrung der 
Datenschutzkontrolle im öffentlichen 
Bereich, dass die mit einer Beanstan- 
dung verknüpfte förmliche Feststellung 


der Rechtswidrigkeit einer Datenver- 
arbeitung nicht zu deren Beendigung 
führt. Gerade bei der schon angespro- 
chenen Finanzverwaltung und bei den 
Strafverfolgungs- und sog. Sicherheits- 
behörden werden Datenschutzverstöße 
regelmäßig von der Fach-, Dienst- und 
Rechtsaufsicht gedeckt. Diese erweist 
sich oft als besonders unsensibel in Da- 
tenschutzfragen und als unrechtstreu. 
Es scheint erklärter politischer Wille zu 
sein, dass sich hieran nichts ändert. 

Es ist kein Trost, dass es andere EU- 
Staaten Deutschland nachmachen oder 
gar die Falsch- oder Nichtumsetzen des 
EU-Rechts noch toppen, allen voran Ös- 
terreich, das mit seiner ÖVP-FPÖ-Mehr- 
heit aus dem Datenschutzrecht einen 
zahnlosen Tiger zu machen versucht, 
der nur wenig brüllen und fast gar nicht 
mehr beißen darf. ”* 


4 Wider die Verständlichkeit 


Man kann die DSGVO sicherlich dafür 
kritisieren, dass sie oft vage formuliert 
ist. Auch sind manche Begrifflichkeiten 
wenig überzeugend gewählt bzw. ins 
Deutsche übersetzt. Doch kann man der 
DSGVO nicht den Vorwurfmachen, sie sei 
unsystematisch aufgebaut und schwer ver- 
ständlich. Dieses schon bisher bestehen- 
de Defizit des deutschen Datenschutz- 
rechts wird bei der Umsetzung der DSGVO 
fortgeführt, janoch gesteigert. 

Die deutschen Gesetzgeber haben es 
sich fast durchgängig zur Aufgabe ge- 
macht, das nationale Recht so umständ- 
lich zu formulieren, dass es von norma- 
len Menschen überhaupt nicht, und von 
Fachleuten nur nach einem umfassenden 
Studium verstanden und ausgelegt wer- 
den kann. Es ist geradezu absurd, dass 
das deutsche Recht praktisch durchgän- 
gig die DSGVO nicht beim Namen nennt, 
sondern mit der Bezeichnung „Verord- 
nung (EU) 2016/679 des Europäischen 
Parlaments und des Rates vom 27. April 
2016 zum Schutz natürlicher Personen 
bei der Verarbeitung personenbezoge- 
ner Daten, zum freien Datenverkehr und 
zur Aufhebung der Richtlinie 95/46/ 
EG (Datenschutz-Grundverordnung) 
(ABl. L 119 vom 4.5.2016; L 314 vom 
22.11.2016, S. 72) in der jeweils gelten- 
den Fassung” beschreibt?® oder mit dem 
nicht weniger allgemein verständlichen 
„Kürzel“ „Verordnung (EU) 2016/679".°° 
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Dass es anders geht zeigte der bayeri- 
sche Gesetzgeber, der einmal für die 
„DSGVO” eine Quellenangabe vornimmt 
und diese Bezeichnung danach so (ohne 
Bindestrich!) verwendet.” Auch die Ver- 
wendung des ausgeschriebenen Namens 
„Datenschutz-Grundverordnung“ ist bür- 
gerfreundlicher und verständlicher, als 
das, was die Ministerialbürokratie den 
Gesetzgebern regelmäßig vorgegeben 
hat bzw. vorgibt. 

Die Anwendbarkeit des Datenschutz- 
rechts wird weiter dadurch erschwert, 
dass nicht versucht wurde, die Umset- 
zung der DSGVO-Regelungen direkt im 
bereichsspezifischen Recht vorzuneh- 
men. Dies hat zur Folge, das oft Regeln 
aus drei Ebenen anzuwenden sind: 
1. DSGVO, 2. umsetzende allgemeine 
nationale oder Landesnormen, 3. be- 
reichsspezifisches Recht. Das BDSG bzw. 
die Landesdatenschutzgesetze (LDSG) 
werden zu einer Art Scharnierrecht, in 
dem oft, aber nicht immer, nur die Öff- 
nungsklauseln der DSGVO paraphrasiert 
werden. Das dadurch verursachte Re- 
gelungschaos ist besonders groß, weil 
in Deutschland die Öffnungsklauseln 
extensiv und oft über den zulässigen 
Rahmen hinaus in Anspruch genom- 
men wurden. In der DSGVO angelegte 
Abwägungsregeln sind als solche im 
nationalen Recht oft nicht zu erkennen, 
so dass zusätzlich zur nationalen Norm 
auf die DSGVO-Grundnorm zurückge- 
griffen werden muss. Insbesondere bei 
den durch die DSGVO grds. zugelasse- 
nen Einschränkungen der Betroffenen- 
rechte werden äußerst unbestimmte 
Formulierungen verwendet, so dass die 
Rechtsanwendenden keine klaren Vor- 
gaben erkennen können. 


5 Die Praxis des Datenschutzes 


Es ist - ohne dass diese Feststellung 
von den Datenschutzbehörden als Kri- 
tik an der eigenen Tätigkeit wahrge- 
nommen werden muss - offensichtlich, 
dass wir in Deutschland ein gewaltiges 
Vollzugsdefizit beim Datenschutz hat- 
ten und weiterhin haben. Dies hat viele 
Gründe. Einer ist die teilweise katastro- 
phale Ausstattung der Aufsichtsbehör- 
den.”® Ein weiterer Grund ist die bisher 
maximale Sanktionshöhe von 300.000 €, 
die bei rechtswidrig agierenden Global- 
konzernen wie Google, Microsoft oder 
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Facebook bisher nur ein müdes Lächeln 
auslöste. Ein weiterer Grund war, dass, 
wie schon dargestellt, der Datenschutz 
in der offiziellen Politik keine oderkaum 
eine Lobby hatte, geschweige denn auf 
Verständnis oder gar auf Engagement 
stieß und weiterhin stößt.?° Selbst eine 
sich als digitale Bürgerrechtspartei ge- 
rierende Partei wie die FDP konnte im 
Bundestagswahlkampf 2017 ungestraft 
von ihren Wählern bundesweit plakatie- 
ren „Digital first - Bedenken second”, 
wobei mit Bedenken nicht zuletzt der 
Datenschutz gemeint war. 

Im zeitlichen Vorlauf zur direkten 
Anwendbarkeit der DSGVO haben wir 
ein erstaunliches Phänomen erlebt: 
Rechtsanwälte, Unternehmensberater 
und professionelle Datenschützer muss- 
ten vor dem 25.05.2018 Überstunden 
schieben. Zwar war seit 2 Jahren be- 
kannt, welche Datenschutzregeln künf- 
tig gelten. Doch bewusst wurde es vie- 
len Behörden und Privatunternehmen 
erst weniger als ein halbes Jahr vor dem 
Termin. Einen wesentlichen Beitrag zur 
großen Datenschutznachfrage leisteten 
Geschäftemacher, die mit der starken 
Sanktions- und Abmahnmöjglichkeiten 
dafür warben, die Aufgabe des Daten- 
schutzes auf sich outzusourcen und 
damit oft für überteuertes Geld in wenig 
kompetente Hände zu übertragen.°' Da- 
bei handelte es sich nicht um eine Auf- 
klärungs-, Werbe- oder Sympathiekam- 
pagne, sondern um ein Drohszenario, 
das nicht nur völlig überzogen war und 
ist, sondern auch oft mit falschen Fak- 
ten argumentierte. So sehr dies zu kri- 
tisieren ist, bewirkt hat dies, dass sich 
viele Unternehmen erstmals überhaupt 
mit Datenschutz beschäftigt haben. Wer 
sich bisher an das Recht gehalten hat, 
muss auch in Zukunft wenig befürch- 
ten: Aufsichtsbehörden sind nicht nur 
aus Kapazitätsgründen dem Verhält- 
nismäßigkeitsgrundsatz verpflichtet. 
Als zusätzliche von Abmahnvereinen 
feststellbare Pflichtverletzung kommt 
bei Internetpräsenz allenfalls die Infor- 
mationspflicht nach Art. 12 ff. DSGVO in 
Betracht, die einzuhalten kein Hexen- 
werk darstellt. 

Esist nun leider so, dass estatsächlich 
bei vielen der Drohung bedurfte, dass 
der Datenschutz ernst genommen wird. 
Dieser Ernst könnte schnell verfliegen, 
wenn sich die Aufsichtsbehörden nicht 


vom ersten Tag an auf die neue Rechts- 
lage umstellen. Dies ist - insbesondere 
aus Kapazitätsgründen - eine Herkules- 
aufgabe, zumal die politische Rücken- 
stärkung weiterhin weitgehend fehlt. 
Da muss der behördliche Datenschutz 
jetzt durch, will er sich nicht auflängere 
Zeit ganz verabschieden. Zur Herkules- 
aufgabe gehört es, zeitnah auf Anfra- 
gen und Beschwerden zu reagieren. Es 
geht nicht an, dass ich z. B. für eine gut 
begründete juristisch ausgearbeitete 
Beschwerde gegen ein in Deutschland 
agierendes US-amerikanisches Petiti- 
onsportal trotz mehrfacher Anfragen 
außer einem Zwischenbescheid bis 
heute keine Antwort bekommen habe.°? 
Wenn das Personal für die Bearbeitung 
fehlt, so muss es von den Behörden of- 
fensiv eingefordert werden. 

Ein Lichtblick für den Datenschutz ist 
schon seit einigen Jahren, in jedem Fall 
seit der Zulassung der Verbandsklage bei 
Datenschutzverstößen, der Verbraucher- 
schutz.’ Dieser betätigt sich nicht als 
Konkurrenz, sondern als natürliche Er- 
gänzung zu den Aufsichtsbehörden. Die 
DSGVO bestärkt in Art. 80 diese Entwick- 
lung. Würden echte Sammelklagen zuge- 
lassen, und nicht nur, wiein Deutschland 
geplant, sog. Musterfeststellungsklagen, 
so wäre der Effekt des Verbraucherschut- 
zes sicher noch erheblich größer. 

Ein weiterer Lichtblick sind im Bereich 
des Beschäftigtendatenschutzes in jün- 
gerer Zeit einige Betriebsräte.” Diese 
haben die Möglichkeit und das Recht, 
durch Kollektivvereinbarungen - nun 
im Rahmen des Art. 88 DSGVO - gemein- 
sam mit den Arbeitgebern rechtssetzend 
tätig zu werden. Sie stoßen zwar hin- 
sichtlich des informationstechnischen 
und des rechtlichen Know-hows allzu 
oft an Grenzen. Insofern muss und kann 
mit Beratung gegengesteuert werden. 
Mangelnde Kooperationsbereitschaft 
der Arbeitgeber stößt künftig auf ein 
umfängliches Abhilfeinstrumentarium. 
Da inzwischen selbst die Gewerkschaf- 
ten das Thema entdeckt haben, wenn- 
gleich dort das Bewusstsein für die Pro- 
blematik entwicklungsfähig ist, gibt es 
Anlass zum Optimismus. Dass wir auch 
35 Jahre nach dem Volkszählungsurteil 
immer noch kein Beschäftigtendaten- 
schutzgesetz haben”, lag bisher nicht 
nur am Unwillen der Politik und der 
Arbeitgeberseite, sondern auch am feh- 
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lenden Bewusstsein und Druck seitens 
der Gewerkschaften. 

So sehr sich die DSGVO aktuellen Her- 
ausforderungen bei der Umsetzung stel- 
len muss, so gewaltig ist das in ihr ste- 
ckende Potenzial. Dabei handelt es sich 
letztlich um das globale Gegenmodell 
zur den totalitären und autoritären Re- 
gulierungen in Russland oder in China 
sowie zum ökonomisch motivierten US- 
amerikanischen Regulierungsverzicht. 
Ein Gegenmodell ist die DSGVO dabei 
nicht nur als innergesellschaftliche Al- 
ternative zum vorherrschenden System, 
etwa für die (außerparlamentarische) 
Oppositionin den USA. Eshat auch hohe 
Attraktivität für Schwellenstaaten, die 
sich den Hegemonialbestrebungen etwa 
von China oder den USA bei der Digitali- 
sierung nicht unterordnen wollen. 

Das BVerfG hat mit seiner Schritt- 
macherfunktion für den Datenschutz 
mit dem EuGH Unterstützung erhalten. 
Der EuGH hat die Möglichkeit, über den 
Rahmen nationaler Rechtsanwendung 
hinaus europaweit einheitliche Aus- 
legungen vorzugeben. Angesichts des 
Umstands, dass von der deutschen Poli- 
tik auf Bundes- und Landesebene keine 
Impulse zu erwarten sind, sind Impulse 
aus der Rechtsprechung umso wichtiger. 
Bei aller Kongruenz zwischen nationa- 
ler und europäischer Rechtsprechung 
im Bereich des Datenschutzes ist mit 
Aufmerksamkeit zu verfolgen, wie sich 
die Gerichtsentscheidungen in neuen 
Bereichen des digitalen Grundrechts- 
schutzes fortentwickeln. Hinsichtlich 
Transparenzansprüchen waren der EuGH 
sowie der Europäischen Gerichtshof für 
Menschenrechte erheblich fortschrittli- 
cher als das BVerfG. 


6 Verfassungsrechtliche Weiterent- 
wicklungen 


Die Beschränkung des Datenschutzes 
auf eine eng verstandene „informatio- 
nelle Selbstbestimmung” als subjektives 
Individualrecht” birgt in der Verwal- 
tungspraxis Anwendungsrisiken: Schon 
früh war im Hessischen Datenschutz- 
recht anerkannt, dass es Aufgabe des 
Datenschutzes ist, „das auf dem Grund- 
satz der Gewaltenteilung beruhende 
verfassungsmäßige Gefüge des Staates, 
insbesondere der Verfassungsorgane des 
Landes und der Organe der kommunalen 
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Selbstverwaltung untereinander und zu- 
einander, vor einer Gefährdung infolge 
der automatisierten Datenverarbeitung 
zu bewahren”.” In Frage stand das In- 
formationsgleichgewicht zwischen Re- 
gierung und Parlament.”® Das BVerfG hat 
in seinem Volkszählungsurteil zudem 
herausgestellt, dass Datenschutz „eine 
elementare Funktionsbedingung eines 
auf Handlungs- und Mitwirkungsfähig- 
keit seiner Bürger begründeten freiheit- 
lichen demokratischen Gemeinwesens 
ist”.”° Direkte gesetzgeberische Konse- 
quenzen sind aber aus dieser Erkenntnis 
bisher nicht gezogen worden. 

Der rechtliche Ansatz der DSGVO ist 
in Art. 1 Abs. 1 erheblich weiter, indem 
er als Schutzzweck generell „die Grund- 
rechte und Grundfreiheiten natürlicher 
Personen” nennt. Davon erfasst sind 
also auch der Schutz des Telekommu- 
nikationsgeheimnisses (Art. 7 GRCh), 
vor Diskriminierung (Art. 21 GRCh) und 
der Meinungs- und Informationsfreiheit 
(Art. 11 GRCh), das Recht auf Zugang zu 
Dokumenten (Art. 42 GRCh) sowie auch 
die Schutzrechte für Arbeitnehmer oder 
Verbraucher (Art. 27 ff., 38 GRCh).“ 
Die unabhängigen Aufsichtsbehörden 
dürfen sich also nicht auf ein enges Ver- 
ständnis beschränken, sondern müssen 
bei ihrer Aufgabenbeschreibung einem 
umfassenden Grundrechtsansatz fol- 
gen, der auch gesellschaftliche Funkti- 
onen wie Demokratie, Gewaltenteilung 
und Solidarität mit einschließt. 

Letztlich führt die Digitalisierung 
nicht nur zu einer Gefährdung der be- 
stehenden Grundrechte, sondern be- 
gründet den Bedarf der Entwicklung 
neuer, sich hieraus ergebender Instru- 
mente. Mit einer „Charta der Digitalen 
Grundrechte der Europäischen Union” 
wurde hierzu ein erster Diskussions- 
vorschlag vorgelegt.‘' Dabei geht es 
auch um einen sozial und freiheitlich 
verträglichen Einsatz von Algorithmen 
sowie von auf sog. künstlicher Intel- 
ligenz basierenden Verfahren. Für die 
Regulierung und Kontrolle derartiger 
Verfahren bedarf es dem Gemeinwohl 
verpflichteter, wirtschaftlich und po- 
litisch unabhängiger Instanzen mit 
rechtlicher wie technischer sowie sons- 
tiger wissenschaftlicher Kompetenz und 
ausreichender Ausstattung. Für diese 
Funktion bietet sich der Ausbau der be- 
stehenden Datenschutzaufsicht, die oft 


auch schon Aufgaben im Bereich der In- 
formationsfreiheit wahrnimmt, an. 


7 Praktischer Ausblick 


Eine Bestandsaufnahme ist ohne ei- 
nen Ausblick unvollständig. Die DSGVO 
enthält Potenziale, die noch nicht im 
Ansatz gehoben sind. 

Dies gilt für die Datenschutzzertifizie- 
rung, die auch 18 Jahre, nachdem sie in 
Schleswig-Holstein eingeführt wurde, 
immer noch ein Schattendasein fristet. 
Ohne eine unabhängige, transparente 
und fachlich seriöse Zertifizierung wer- 
den künftig viele Datenschutzpflichten 
nicht verlässlich umgesetzt werden 
können. 

Verhaltensregeln, also Normen der 
regulierten Selbstrequlierung, haben 
bisher in der deutschen Datenschutz- 
praxis nur eine untergeordnete Rolle 
gespielt.‘ Dies kann und wird sich vo- 
raussichtlich ändern, da so nunmehr 
Entlastungen etwa für kleine und mitt- 
lere Unternehmen (KMU) erzielt und die 
Generalklauseln des Art. 6 DSGVO aus- 
gefüllt werden können. Wirtschaftsver- 
bände werden diese Möglichkeit voraus- 
sichtlich nutzen. Dadurch wird zugleich 
größtmögliche Sachnähe, Rechtsicher- 
heit und Verbindlichkeit sowie kritische 
Kontrolle bewirkt. 

Wurde Datenschutzrecht in den 70er 
Jahren als im öffentlichen Recht ange- 
siedeltes Ordnungsrecht wahrgenom- 
men, so emanzipierte sich der Daten- 
schutz in den 90er Jahren im allgemei- 
nen Zivilrecht und in den O0er Jahren 
speziell für den Verbraucher- und den 
Arbeitnehmerschutz. Seit Kurzem er- 
obert der Datenschutz als Querschnitts- 
materie immer mehr Rechtsgebiete. 
Besonders interessant sind die Quer- 
bezüge zum Wettbewerbs-, Kartell- und 
Steuerrecht. Durch die 9. GWB-Novelle‘® 
wird erstmals ausdrücklich die Daten- 
konzentration als mögliche Beeinträch- 
tigung des Wettbewerbs anerkannt. 

Die Weiterentwicklung des Rechts der 
Digitalisierung kann und darf mit der 
DSGVO nicht stehen bleiben. Die Haus- 
aufgaben sind teilweise schon verteilt: 
Dies gilt für Europa, das derzeit die Da- 
tenschutzregeln für die EU-Institutio- 
nen und in der E-Privacy-Verordnung 
für den Bereich der Telekommunikation 
überarbeitet. Die EU kann aber nur im 
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Rahmen ihrer weiterhin beschränkten 
normativen Befugnisse tätig werden. 
Ihre Innovationskraft ist zudem durch 
den sehr weitgehenden Einigungs- 
zwang begrenzt. Hier sind eher nationa- 
le Initiativen nötig, die bei Bewährung 
von Brüssel übernommen werden kön- 
nen und sollten. Dabei stellt die föde- 
rale Struktur Deutschlands sowohl eine 
Chance wie auch ein Hindernis dar. Es 
ist unrealistisch, dass eine neue Föde- 
ralismusreform unter den Vorzeichen 
der Digitalisierung in Angriff genom- 
men werden wird. Insofern sollten sich 
Bund und Länder auf das Instrument 
von Staatsverträgen besinnen, das sich 
im Medienbereich bewährt hat. Über 
Bund-Länder-Staatsverträge zu Digita- 
lisierungsthemen, etwa für eine For- 
schungsinfrastruktur“, können ein- 
heitliche Standards festgelegt werden, 
die regional wie national diskutiert wer- 
den müssen und dadurch letztlich ein 
hohes Akzeptanzpotenzial haben. 

Ich wünsche mir für die Zukunft kei- 
ne Datenschutzskandale. Wenn ich mir 
etwas wünschen dürfte, hielte ich eine 
massive Verletzung des Datenschutzes 
im Anwaltsbereich für besonders lehr- 
reich. Es waren nämlich die Anwalts- 
verbände, die durch ihre Lobbypolitik 
gegenüber der Bundespolitik eine ver- 
fassungs- und europarechtswidrige 
Kontrolleinschränkung erreicht haben, 
die nicht nur dem Mandantengeheim- 
nis, sondern letztlich der Anwaltschaft 
insgesamt schadet, ohne dass insofern 
bei den Anwaltsverbänden ein Erkennt- 
nisprozess zu erkennen wäre.‘ Daten- 
schutzskandale brachten in der Ver- 
gangenheit den Datenschutz voran. Die 
DSGVO in ihrer aktuellen Fassung wäre 
ohne die Snowden-Enthüllungen nicht 
möglich gewesen. Datenschutzskan- 
dale werden auch künftig passieren. Es 
wird darum gehen, hieraus die richtigen 
Schlussfolgerungen für den digitalen 
Grundrechtsschutz zu ziehen. 
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Anne Riechert 


Das neue Recht auf Datenübertragbarkeit 
aus Sicht der Betroffenen 


Mit dem neuen europäischen Recht 
auf Datenübertragbarkeit (Artikel 20 
DSGVO) haben Sie das Recht, die von 
Ihnen bereitgestellten Daten von einem 
Anbieter direkt zu erhalten oder unmit- 
telbar zu einem neuen Anbieter über- 
mitteln zu lassen. 


Die Frage ist allerdings, ob dadurch 
Ihr Recht auf informationelle Selbstbe- 
stimmung gestärkt wird. 


Insgesamt besteht Uneinigkeit über 
Sinn und Zweck des Artikels 20 DSGVO. 
Die Regelung wird teilweise einschrän- 
kend dahin ausgelegt, dass (nur) die Da- 
tenübertragung von einem Dienstleister 
zum anderen erleichtert und Lock-In- 
Effekte vermieden werden sollen.! So be- 
stand auch die ursprüngliche Intention 
der Europäischen Kommission darin, den 
Umzug eines Online-Profils von einem 
sozialen Netzwerk zu einem anderen zu 
erleichtern und diesem mit einem ein- 
zigen Klick zu ermöglichen.? Da diese 
Einschränkung aber im Wortlaut der Re- 
gelung des Artikel 20 DSGVO nicht erhal- 
ten ist, sollen damit grundsätzlich auch 
branchenübergreifende Datenübertra- 
gungen erfasst sein. Dies kann sich etwa 
auch auf eine Datenübermittlung von 
Ihrem Fitness-Tracker zu Ihrer Kranken- 
versicherung beziehen. 

Die Stiftung Datenschutz hat diese 
Fragen in ihrer Studie „Praktische Um- 
setzung des Rechts auf Datenübertrag- 
barkeit” bereits umfassend untersucht.° 
In den folgenden Ausführungen werden 
die einzelnen Voraussetzungen des 
Rechts auf Datenübertragbarkeit nun 
aus Sicht des Betroffenen näher dar- 
gestellt. Es werden dabei vor allem die 
Leitlinien der Artikel-29-Datenschutz- 
gruppe zum Recht auf Datenübertrag- 
barkeit zugrunde gelegt, da sich die 
Datenschutzaufsichtsbehörden bei der 
Auslegung und Anwendung der Daten- 
schutzgrundverordnung an diesen Emp- 
fehlungen orientieren werden.‘ 
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I. Um welche Daten geht es? 


Gemäß Artikel 20 DSGVO ist es erfor- 
derlich, dass die personenbezogenen 
Daten entweder auf Grund einer infor- 
mierten Einwilligung des Betroffenen 
oder auf der Grundlage eines Vertrags 
verarbeitet werden und vom Betroffe- 
nen bereitgestellt wurden. 

Wesentlich und umstritten ist dabei 
das Merkmal des Bereitstellens, da esin 
der Datenschutzgrundverordnung nicht 
definiert ist. 

Die Artikel-29-Datenschutzgruppe 
hat in ihrer Stellungnahme eine wei- 
te Auslegung vorgenommen. So sollen 
einerseits Buchtitel, die eine Person 
in einer Online-Buchhandlung gekauft 
hat, oder über einen Musik-Streaming- 
Dienst angehörte Musikstücke in den 
Anwendungsbereich des Rechts auf 
Datenübertragbarkeit fallen, da sie auf 
der Grundlage eines Vertrags verarbeitet 
werden.’ Entsprechendes gilt für Daten, 
die die betroffene Person aktiv angibt, 
etwa durch Eintrag in ein Webformular. 
Andererseits sollen von den „bereitge- 
stellten Daten” ebenso die so genannten 
„observed data” umfasst, also die Da- 
ten, die aufgrund der Inanspruchnah- 
me eines Dienstes erzeugt werden, z.B. 
Nutzungsdaten, die Suchhistorie des 
Betroffenen oder Daten, die durch einen 
Fitness-Tracker aufgenommen worden 
sind.° Letzteres ist insbesondere von 
Unternehmen heftig kritisiert worden. 
Einigkeit besteht hingegen darüber, 
dass keine Daten erfasst sein sollen, die 
der Verantwortliche erst auf Grund der 
bereitgestellten Daten selbst ausgewer- 
tet und erzeugt hat („inferred data”), 
z.B. im Rahmen der Profilbildung und 
Scorewerte.’ 


II. Bereitgestellte Daten - 
Einzelfragen und Beispiele 


In den folgenden Beispielen sind 
ebenfalls Überlegungen dahingehend 


zu finden, inwieweit ein mögliches 
Recht auf Datenübertragung tatsächlich 
auch zur Stärkung des informationellen 
Selbstbestimmungsrechts beiträgt und 
grundsätzlich in der Praxis Anwendung 
finden könnte. 


1. Auskunfteien 


Positivdaten 

Für die Informationen, die bei Wirt- 
schaftsauskunfteien gespeichert sind, 
könnte die Regelung des Artikel 20 DS- 
GVO bedeuten, dass davon die Daten be- 
troffen sind, die aufgrund einer Einwil- 
ligung der betroffenen Person an diese 
übermittelt wurden: 

Hat der Kunde seiner Bank sein Ein- 
verständnis dahingehend erteilt, dass 
Daten über die Beantragung, die Auf- 
nahme (Kreditnehmer und Kreditbetrag, 
Laufzeit und Ratenbeginn) und die ver- 
einbarungsgemäße Abwicklung (z. B. 
vorzeitige Rückzahlung, Laufzeitverlän- 
gerung) des in Anspruch genommenen 
Kredits an eine Wirtschaftsauskunftei 
übermittelt werden dürfen, besteht die- 
ser gegenüber auch ein entsprechender 
Anspruch auf Übertragung dieser Daten 
in einem strukturierten, gängigen und 
maschinenlesbaren Format. 

Hier muss man auch davon ausgehen, 
dass diese Daten von der betroffenen 
Person bereitgestellt wurden, da sie in 
die Übermittlung eingewilligt und da- 
mit die Daten „aktiv und wissentlich” 
auch einem Dritten zur Verfügung ge- 
stellt hat. Die Übermittlung wurde sei- 
tens des Betroffenen also veranlasst. 
Ansonsten wäre es in diesem Falle nicht 
nachvollziehbar, wenn Daten nur dann 
als „bereitgestellt“ gelten, sofern der 
Betroffene sie selbst übermittelt hat. 

Ein Vermieter könnte beispielsweise 
dem potenziellen Mieter vorschlagen, 
die gewünschte Wohnung im Gegenzug 
einer unmittelbaren Datenübermittlung 
seitens der Wirtschaftsauskunftei zu 
vergeben. Mit Einwilligung der betroffe- 
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nen Person können ansonsten nur Ver- 
tragspartner der Wirtschaftsauskunftei 
unmittelbar auf diese Daten zugreifen, 
was bei privaten Vermietern jedoch 
regelmäßig nicht der Fall sein wird. 
Die Übertragung der Daten „mit einem 
Klick“ und in einem maschinenlesbaren 
Format an den Vermieter könnte den 
Rechtsverkehr vereinfachen, ohne den 
„Umweg“ über die Selbstauskunft und 
selbstständiger Bereitstellung eines 
entsprechenden Dokuments (in Papier- 
form) an den Vermieter zu gehen. 

Zum einen ist jedoch zu berücksich- 
tigen, welchen Mehrwert diese Vor- 
gehensweise für das informationelle 
Selbstbestimmungsrecht der betroffe- 
nen Person mit sich bringt und ob die- 
ses damit tatsächlich gestärkt werden 
würde. Zum anderen ist sehr fraglich, 
ob der Vertragspartner ein Interesse 
daran hätte, da Positivdaten nur eine 
„halbe“ Information darstellen. Der 
Vertragspartner hat eher ein beson- 
deres Interesse an den so genannten 
Negativdaten, also an Daten, die über 
nicht vertragsgemäßes Verhalten (fäl- 
lige Forderungen, etc.) informieren. 
Nur wenn auch diese Daten von der 
Datenportabilität erfasst wären, wür- 
de ein entsprechender Anspruch über- 
haupt Sinn machen. Diese Frage wird 
unter dem folgenden Punkt „Observed 
data?” behandelt.° 


„Observed data”? 

Eingangs wurde darauf hingewie- 
sen, dass Daten, die aufgrund der In- 
anspruchnahme des Dienstes erzeugt 
werden, von den Datenschutzaufsichts- 
behörden ebenfalls als „bereitgestellt“ 
eingeordnet werden. Solche Daten wer- 
den aufgrund von Aufzeichnungen der 
Aktivitäten der betroffenen Personen 
generiert.’ Aber wie verhält es sich mit 
Informationen, die von Banken, Händ- 
lern, etc. an eine Wirtschaftsauskunftei 
aufgrund eines berechtigten Interes- 
ses übermittelt werden, beispielsweise 
Daten, die nicht vertragsgemäßes Ver- 
halten betreffen (Konten- oder Kredit- 
kartenmissbrauch oder sonstiges be- 
trügerisches Verhalten) oder Daten über 
bestehende fällige Forderungen? 

Hier stellt sich einerseits die Frage, 
welche personenbezogene Daten von 
Finanzeinrichtungen im Rahmen ihrer 
Pflicht zur Verhütung und Aufdeckung 
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von Geldwäsche und anderen Formen 
der Finanzkriminalität verarbeitet wer- 
den, so dass von vorneherein kein An- 
spruch auf Datenportabilität besteht." 

Andererseits muss entschieden wer- 
den, ob diese Daten, wie etwa Informa- 
tionen über bestehende fällige Forde- 
rungen, vom Betroffenen im Sinne von 
Artikel 20 DSGVO „bereitgestellt" wurden. 
Dies müsste gewissermaßen in analoger 
Betrachtung der oben beschriebenen 
Dienstnutzung bzw. Inanspruchnahme 
des Dienstes geschehen. Es müsste un- 
terstellt werden können, dass bei dieser 
Fallkonstellation gleichermaßen Daten 
durch das Verhalten der betroffenen Per- 
son erzeugt werden. So werden die Infor- 
mationen über betrügerisches Verhalten 
oderdiefehlende Zahlungsfähigkeit oder 
Zahlungswilligkeit einer betroffenen Per- 
son aufgrund ihres Verhaltens während 
der Laufzeit des Vertrages durch das Kre- 
ditinstitut festgestellt. Dies kann darü- 
ber hinaus sogar erforderlich sein, da die 
Kreditwürdigkeit beurteilt werden muss, 
z.B. auch wenn durch das nicht vertrags- 
gemäße Verhalten Umstände eintreten, 
die zur Kündigung des Vertrages berech- 
tigen. Ob eine solche Verarbeitung mit 
einer Suchhistorie oder aufgezeichneten 
Pulswerten als vergleichbar eingestuft 
werden kann ist fraglich. Diesbezüglich 
sind den Ausführungen der Artikel-29- 
Datenschutzgruppe auch keine Hinweise 
zu entnehmen. Außerdem müsste die 
Verarbeitung mit „automatischen Mit- 
teln“ erfolgen.'!! Selbst wenn man einen 
Datenübertragungsanspruch gemäß Ar- 
tikel 20 DSGVO bejahen würde, stellt sich 
im Hinblick auf eine unmittelbare Über- 
tragung der Daten an Dritte (etwa Ver- 
mieter) die Frage, ob eine solche brauch- 
bare „Auskünfte“ liefert, da bei einem 
einzigen Verantwortlichen - anders als 
bei einer Wirtschaftsauskunftei - keine 
umfassenden Informationen über den 
Schuldner vorhanden sind. 

Möchte sich die betroffene Person 
selbst über den Umfang der Verarbei- 
tung ihrer personenbezogenen Daten 
durch einen Verantwortlichen (etwa 
einer Bank) erkundigen, könnte sie au- 
ßerdem einen Auskunftsanspruch ge- 
mäß Artikel 15 DSGVO geltend machen, 
soweit sich aus 8 34 BDSG (neu) nichts 
anderes ergibt. 

Insgesamt ist hiervon zudem abzu- 
grenzen, ob ein Anspruch gegen die 


Wirtschaftsauskunftei auf Datenüber- 
tragbarkeit bestehen kann. So erfolgte 
die Übermittlung solcher Negativdaten 
an eine Wirtschaftsauskunftei oder von 
dieser an weitere Dritte in der Vergan- 
genheit stets aufgrund eines berech- 
tigten Interesses. In diesem Falle kann 
keine Bereitstellung durch den Betrof- 
fenen unterstellt werden. Der Betroffe- 
ne muss zwar in diesem Falle über die 
Datenübermittlung informiert werden. 
Eine Information, auch wenn sie aus- 
führlich ist, istjedoch etwas anderes als 
eine vorherige ausdrückliche Einwilli- 
gung. Daher ist bei einer Übermittlung 
aufgrund eines berechtigten Interesses 
regelmäßig davon auszugehen, dass die 
Weitergabe der Daten an den Dritten 
nicht auf Veranlassung des Betroffenen 
erfolgt ist. 

Gegenüber der Wirtschaftsauskunftei 
kann seitens der betroffenen Person na- 
türlich ebenfalls ein Auskunftsanspruch 
geltend gemacht werden (Artikel 15 DS- 
GVO). Daher wird es im Hinblick auf die 
Wirtschaftsauskunfteien wohl bei dem 
gängigen Verfahren verbleiben, dort 
eine Selbstauskunft einzuholen und 
diese bei Bedarf entsprechend weiter- 
zuleiten. 


Scorewert 

Beim Scorewert handelt es sich um die 
Errechnung eines Wahrscheinlichkeits- 
wertes auf der Grundlage des vorhande- 
nen Datenbestandes, um das Kreditrisiko 
zu beurteilen. Dies fällt demgemäß unter 
den Begriff der „inferred data”, Daten, 
die der Verantwortliche erst auf Grund 
der bereitgestellten Informationen selbst 
ausgewertet und erzeugt hat. 

Diese sind aber vom Auskunftsrecht 
umfasst, wenn auch die deutsche Recht- 
sprechung die Wahrung der Betriebs- 
und Geschäftsgeheimnisse im Rahmen 
der angewendeten Berechnungsme- 
thode hervorhebt.'? Eine andere Frage 
ist, ob ein solcher Scorewert überhaupt 
gebildet werden darf. Bei Auskunfteien 
richtet sich die Zulässigkeit nach & 31 
BDSG (neu) und Artikel 6 Absatz 1f DS- 
GVO. Hier wird die Frage diskutiert, in- 
wieweit & 31 BDSG (neu) europarechts- 
widrig und damit unanwendbar ist." In 
diesem Falle bliebe es bei der Scorewert- 
Berechnung und der Weitergabe an Drit- 
te allein bei Artikel 6 Absatz 1f DSGVO 
(„berechtigte Interessen”). 


73 


Ergänzender Hinweis: 

Im Rahmen eines Kaufvertrages stellt 
sich zudem die Frage, ob die Zugrund- 
legung eines (vorhandenen) Scorewerts 
seitens des Händlers für die Vertragser- 
füllung erforderlich ist. Zu bedenken ist 
jedoch, dass der Händler den Abschluss 
des Kaufvertrages in derselben Weise 
von einer anderen Zahlungsmöglichkeit 
abhängig machen könnte, etwa Kredit- 
karte oder Vorkasse. So würde dem Kun- 
den der Rückgriff auf einen Scorewert 
„erspart“, es sei denn dieser hätte eine 
informierte und freiwillige Einwilligung 
erteilt.'* Der vorhandene Scorewert ist 
davon aber stets unabhängig zu be- 
trachten: Dieser wurde „nur“ aufgrund 
eines berechtigten Interesses sowie auf 
der Grundlage von bereitgestellten Da- 
ten seitens des jeweils Verantwortlichen 
eigenständig gebildet. Der Scorewert ist 
damit nicht Gegenstand des Rechts auf 
Datenübertragbarkeit, wohl aber des 
Auskunftsanspruches (Artikel 15 DS- 
GVO), wenn auch wie gerade ausgeführt 
unter Beachtung des Geschäftsgeheim- 
nisses einer Wirtschaftsauskunftei. 


2. Telekommunikationsdaten 


Bei der Nutzung eines Telekommu- 
nikationsdienstes fallen so genannte 
Verkehrsdaten/Verbindungsdaten (z.B. 
Nummer und Kennung der Anschlüs- 
se oder Standortdaten) an. Im Entwurf 
der E-Privacy-Verordnung findet sich 
nun dazu der Begriff der Kommunika- 
tionsmetadaten.'” Dies sind Daten, die 
in einem elektronischen Kommunikati- 
onsnetz zu Zwecken der Übermittlung, 
der Verbreitung oder des Austauschs 
elektronischer Kommunikationsinhalte 
verarbeitet werden. Im Einzelnen zählen 
dazu die zur Verfolgung und Identifizie- 
rung des Ausgangs- und Zielpunkts einer 
Kommunikation verwendeten Daten und 
die erzeugten Daten über den Standort 
des Geräts sowie Datum, Uhrzeit, Dauer 
und Art der Kommunikation." 

In Bezug auf das Recht auf Daten- 
übertragbarkeit sind Telekommunikati- 
onsunternehmen der Auffassung, dass 
Verkehrsdaten aufgrund der jeweiligen 
Dienstnutzung zwangsläufig entstehen 
und daher nicht von den betroffenen 
Personen bereitgestellt werden. Der Ver- 
band BitKom verweist in diesem Zusam- 
menhang darauf, dass Verkehrsdaten 
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nicht vom Recht auf Datenübertragbar- 
keit erfasst sein dürfen, u.a. aus dem 
Grunde, da zum einen Schutzrechte von 
Dritten betroffen seien und zum ande- 
ren die Verkehrsdaten bei einem Kom- 
munikationsvorgang stets und ohne Zu- 
tun der Betroffenen anfallen und damit 
nicht für die Vertragserfüllung erforder- 
lich seien.” 

Die  Artikel-29-Datenschutzgruppe 
sieht dies jedoch anders und stuft Ver- 
kehrs- und Standortdaten als vom Nut- 
zer bereitgestellte Daten im Sinne von 
Nutzungsdaten ein.'® Damit stünde der 
betroffenen Person auch ein grundsätz- 
liches Recht auf Übertragung dieser Da- 
ten zu. 

Insgesamt ist außerdem der Entwurf 
der E-Privacy-Verordnung zu beach- 
ten. Im Sinne dieser Regelung ist es 
möglich, dass die Verarbeitung dieser 
„Verkehrsdaten“ (im Sinne der oben 
beschriebenen Kommunikationsmeta- 
daten) aufgrund einer Einwilligung 
der Betroffenen erfolgen muss.'? Er- 
folgt also eine Verarbeitung solcher 
Kommunikationsmetadaten (Ver- 
kehrs- und Standortdaten) aufgrund 
einer Einwilligung der betroffenen 
Person, wäre gemäß des Wortlauts des 
Artikels 20 DSGVO auch aus diesem 
Grunde ein Anspruch auf Übertragung 
dieser Daten zu einem anderen Dienst- 
leister gegeben.?® 

Ansonsten stellt sich allerdings die 
Frage der praktischen Relevanz für 
das Recht auf Datenübertragbarkeit 
aufgrund der durch die E-Privacy-Ver- 
ordnung vorgegebenen engen Gren- 
zen einer zulässigen Speicherung von 
Kommunikationsdaten. Dies könnte 
allenfalls mit Blick auf die Vorratsda- 
tenspeicherung relevant sein,?' wobei 
zu berücksichtigen ist, dass in der 
Vergangenheit die Bundesnetzagen- 
tur sogar ein Auskunftsrecht gemäß 
& 34 BDSG aufgrund der möglichen 
Beeinträchtigung Dritter abgelehnt 
hat.?? So werden Verkehrsdaten in Be- 
zug auf einen bestimmten Anschluss 
gespeichert und berühren damit die 
Interessen des Anschlussinhabers so- 
wie die Interessen von Mitbenutzern 
oder des Kommunikationspartners. 
Diese Wertung sollte ebenso bei der 
Datenportabilität gemäß Artikel 20 
Datenschutzgrundverordnung beach- 
tet werden.” 


3. Cookies 


Die Datenschutzkonferenz hat in ih- 
rem Papier zur Positionsbestimmung 
ausgeführt,”* dass es einer vorherigen 
Einwilligung bei der Erstellung von 
Nutzerprofilen sowie beim Einsatz von 
Tracking-Mechanismen bedürfe, die das 
Verhalten von betroffenen Personen im 
Internet nachvollziehbar machen. Das 
bedeutet, dass eine informierte Ein- 
willigung i. S. d. DSGVO, in Form einer 
Erklärung oder sonstigen eindeutig be- 
stätigenden Handlung vor der Daten- 
verarbeitung eingeholt werden muss, d. 
h. z.B. bevor Cookies platziert werden 
bzw. auf dem Endgerät des Nutzers ge- 
speicherte Informationen gesammelt 
werden. 

Nach dem Wortlaut des Artikel 20 DS- 
GVO würde dementsprechend das Setzen 
eines Cookies unter Einwilligung auch 
einen entsprechenden Anspruch auf 
Datenübertragbarkeit gegenüber dem 
Dritten auslösen, der dieses Cookie für 
seine Zwecke verwendet. Grundsätzlich 
stellt sich allerdings die Frage, „wie“ der 
Dritte diese Daten verarbeitet. Regelmä- 
ßig wird er eine „zumindest pseudony- 
misierte” Profilbildung vornehmen. Dies 
heißt, er würde einen Datenbestand 
schaffen, der gemäß der Auffassung der 
Aufsichtsbehörden als „inferred data“ 
zu bewerten ist. Nur wenn Rohdaten 
beim Dritten vorhanden sind, die die- 
ser noch nicht gelöscht hat, bestünde 
ein Anspruch auf Datenübertragbarkeit 
auch gegenüber dem Dritten. Allerdings 
ist bei pseudonymisierter Erhebung Ar- 
tikel 11 DSGVO zu berücksichtigen, so 
dass geprüft werden muss, ob für den 
Verantwortlichen eine Identifikation 
möglich ist. In diesem Falle besteht 
ein Recht auf Datenübertragbarkeit nur 
dann, wenn der Nutzer zusätzliche In- 
formationen bereitstellt, die seine Iden- 
tifizierung erlauben. 

In Bezug auf die Verwendung von 
eigenen Tracking-Maßnahmen bzw. 
Webanalysediensten durch einen Ver- 
antwortlichen sieht der Entwurf der E- 
Privacy-Verordnung deren Zulässigkeit 
ohne weitere Einschränkung vor. Dies 
umfasst nicht nur Cookies, sondern 
auch Fingerprints, sofern diese Tech- 
nologien zur Besuchermessung einge- 
setzt werden. Der Nutzer muss hierin 
also nicht einwilligen, so dass das Recht 
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auf Datenübertragbarkeit nur berührt 
ist, sofern man diese Daten als „obser- 
ved data” einordnet. Werden diese je- 
doch pseudonymisiert erhoben, gelten 
die gerade gemachten Überlegungen. 
Generierte Profilbildungen des Verant- 
wortlichen sind nicht von der Datenpor- 
tabilität umfasst. Ansonsten müssten 
vorhandene Rohdaten einem Nutzer 
in dem Sinne zugewiesen sein, dass er 
auch identifizierbar ist (Artikel 11 DS- 
GVO).? 


Ergänzender Hinweis 

Nicht abschließend geklärt ist, was 
unter „einer sonstigen eindeutigen be- 
stätigenden Handlung“ im Rahmen der 
Einwilligung gemäß Artikel 4 Nr. 11 
DSGVO zu verstehen ist. Sofern in die- 
sem Sinne auch eine (transparente) In- 
formation der Nutzer auf der Webseite 
des Verantwortlichen dahingehend aus- 
reichen sollte, dass Cookies verwendet 
werden, könnte seine eindeutig bestä- 
tigende Handlung in der Weiternutzung 
des Dienstes liegen. Dies hießße, dass der 
Nutzer nicht aktiv einen Haken dahinge- 
hend setzen muss, dass er mit den Coo- 
kies einverstanden ist, sondern er müss- 
te die Informationen über die Cookies 
lesen und weitersurfen.?‘ Die Artikel- 
29-Datenschutzgruppe hat in ihrer Ori- 
entierungshilfe zu den Voraussetzungen 
einer Einwilligung zwar ausgeführt, dass 
die „bloße Weiternutzung eines Dienstes 
keine eindeutig bestätigende Handlung 
sei”.?’ Die aktuelle Praxis in den Mitglied- 
staaten in Bezug auf die Zulässigkeit von 
Cookies wird jedoch unterschiedlich ge- 
handhabt und zeigt, dass hierauf beson- 
deres Augenmerk gelegt werden sollte.?® 
So veröffentlicht selbst die britische Da- 
tenschutzbehörde ICO auf ihrer Websei- 
te lediglich folgenden Hinweis (den der 
Nutzer auch ignorieren kann)”: 

"We have placed cookies on your device 
to help make this website better. You can 
use this tool to change your cookie set- 
tings. Otherwise, we’ll assume you’re OK 
to continue.” 

Erst bei einem weiteren Klick auf “In- 
formation and settings” erhält man als 
Nutzer auch eine Information über ver- 
wendete „Third Party Cookies”, welche 
seitens des Nutzers aktiv ausgeschaltet 
werden müssen. 

„Jo control third party cookies, you can 
also adjust your browser settings?“. 
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Nicht geklärt ist, was unter „einer 
sonstigen eindeutigen bestätigenden 
Handlung“ im Rahmen der Einwilli- 
gung gemäß Artikel 4 Nr. 11 DSGVO zu 
verstehen ist. Sofern in diesem Sinne 
auch eine Information der Nutzer auf 
der Webseite des Verantwortlichen aus- 
reichen sollte, dass Cookies verwendet 
werden, würde seine eindeutig bestäti- 
gende Handlung in der Weiternutzung 
des Dienstes bestehen. Dies hieße, dass 
der Nutzer nicht aktiv einen Haken da- 
hingehend setzen muss, dass er mit den 
Cookies einverstanden ist, sondern er 
müsste die Informationen über die Coo- 
kies lesen und weitersurfen.°! 

Die aktuelle Praxisin den Mitgliedstaa- 
tenin Bezug aufdie Zulässigkeit von Coo- 
kies wird unterschiedlich gehandhabt.” 
In der Vergangenheit wurde zudem auch 
bereits die Auffassung vertreten, dass 
der Wortlaut des $ 15 Telemediengeset- 
zes im Widerspruch zu den europäischen 
Vorgaben stehe.” Dies wurde nun durch 
das Papier der Datenschutzkonferenz 
nochmals bestätigt. 

Die Europäische Kommission hat im 
Übrigen die Vorstellung, dass die „Coo- 
kie-Thematik” zukünftig durch Brow- 
serlösungen geregelt werden soll, die 
entsprechende Einstellungsmöglichkei- 
ten bieten.’ Allerdings müssen solche 
technischen Lösungen erst noch entwi- 
ckelt werden... 


4. Soziale Netzwerke 


Der eigentlichen bzw. ursprünglichen 
Intention der Europäischen Kommissi- 
on, dass das Recht auf Datenübertrag- 
barkeit den Wechsel von sozialen Netz- 
werken zu datenschutzfreundlichen 
Technologien verwirklichen soll, stehen 
in der Praxis regelmäßig die Rechte 
Dritter entgegen. Ein solches Ansinnen 
ist nur umsetzbar, wenn zumindest alle 
„Freunde“ der betroffenen Person eben- 
so das Netzwerk wechseln. Hinderungs- 
grund ist hier stets das Merkmal des Be- 
reitstellens. Daten aus Chatprotokollen 
oder Profilbilder von Dritten sind nicht 
von der betroffenen Person bereitge- 
stellt und bedürfen einer entsprechen- 
den Einwilligung, wenn sie übermittelt 
werden sollen.” Die Artikel-29-Daten- 
schutzgruppe bezieht sich in ihrer Stel- 
lungnahme auf Kontaktlisten, so dass 
beispielsweise ein Webmail-Dienst die 


Erstellung eines Verzeichnisses mit den 
Kontakten, Freunden, Verwandten, Fa- 
milienangehörigen und dem weiteren 
Umfeld der betroffenen Person ermögli- 
chen könne. Dies führe dazu, dass Ver- 
antwortliche das gesamte Verzeichnis 
der ein- und ausgehenden E-Mails an 
die betroffene Person übertragen könn- 
ten.’ 

Wenn diese Daten jedoch bei einem 
kommerziellen Anbieter gespeichert 
werden, den sich die betroffenen Drit- 
ten nicht bewusst und eigenständig 
ausgesucht haben, ist diese Ansicht zu 
hinterfragen. Dies gilt nun für die be- 
troffenen Dritten einer Datenportabili- 
tät. Es könnte zum jetzigen Zeitpunkt 
verfrüht sein, dem neuen Verantwort- 
lichen die verantwortungsbewusste 
Löschung und Nichtnutzung von Da- 
ten Dritter zu übertragen, wie von der 
Artikel-29-Datenschutzgruppe gefor- 
dert. Diese Auffassung, dass auch Da- 
ten Dritter grundsätzlich übermittelt, 
aber nicht für eigene Zwecke der neuen 
Datenverantwortlichen genutzt werden 
dürfen, zieht nicht in Betracht, dass 
bereits in der Übertragung der Daten 
ein Verstoß gegen das informationelle 
Selbstbestimmungsrecht liegen kann.” 
Möglich wäre etwa, dass sich der Drit- 
te bewusst gegen einen kommerziellen 
Anbieter entschieden hat. Der Vorschlag 
der Einführung von Tools, mit denen die 
betroffenen Personen Daten auswählen 
und ausschließen können’, ist an die- 
ser Stelle nur ausreichend, wenn die 
Drittbetroffenen damit zuvor ihr Ein- 
verständnis erklären können, dass ihre 
Daten zu einem weiteren kommerziellen 
Anbieter übertragen werden.‘ Dann 
müsste jedoch eine entsprechende Ver- 
pflichtung im Hinblick auf die Einfüh- 
rung solcher Tools etabliert werden und 
die Transparenz sichergestellt sein. 

Etwas anderes könnte insgesamt gel- 
ten, wenn der Nutzer beispielsweise sei- 
ne Kontaktliste oder seinen Facebook- 
Account auf sein eigenes, privates Gerät 
kopieren möchte,‘! daes sich in diesem 
Falle tatsächlich um eine „ausschließ- 
lich“ private Verarbeitung handelt. 


III. Um welche Dienste geht es? 
Die  Artikel-29-Datenschutzgruppe 


hat in ihren Ausführungen keine Ein- 
schränkungen gemacht: Der Anspruch 
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auf Datenübertragbarkeit gilt sowohl 
für alle vertragsrelevanten Daten als 
auch für alle Daten, die aufgrund des 
Verhaltens der betroffenen Person er- 
zeugt wurden sowie für Daten, die mit- 
tels Einwilligung bereitgestellt wurden. 
Damit ist grundsätzlich auch eine bran- 
chenübergreifende Datenübertragung 
umfasst, soweit sich zukünftig keine 
andere Rechtspraxis, etwa durch ausge- 
arbeitete Verhaltensregeln oder anders- 
lautende Empfehlungen des Europäi- 
schen Datenschutzes herausbildet. 

Es sind daher Geschäftsmodelle 
denkbar, die eine Rabattierung der 
monatlichen Gebühr gegen den Erhalt 
von Daten vorsehen. Damit ist auch 
ein Datenhandel verbunden, wobei die 
betroffenen Personen natürlich im- 
mer gut überlegen sollten, wem sie für 
welchen Preis ihre Daten anvertrauen. 
Dies gilt umso mehr, da der Wert der 
Daten zum aktuellen Zeitpunkt noch 
gar nicht bezifferbar ist. Hier spielt 
außerdem eine Rolle, inwieweit Arti- 
kel 20 DSGVO einen wirtschaftlichen 
Vorteil des informationellen Selbstbe- 
stimmungsrechts umfassen und diesen 
schützen soll.‘ In diesem Zusammen- 
hang stellt sich die zusätzliche Frage 
nach der Kommerzialisierung von Da- 
ten und ob den betroffenen Personen 
eine wirtschaftliche Verwertungsbe- 
fugnis zusteht,‘ aber gleichwohl, ob 
sie diese überhaupt selbstbestimmt 
ausüben können, wenn sie den Wert 
der Daten nicht kennen. 


IV. Wie sind die Daten an die betrof- 
fene Person zu übermitteln? 


Die Daten sind in einem interope- 
rablen und strukturierten, gängigen, 
maschinenlesbaren Format an die be- 
troffene Person zu übermitteln. Die 
Aufforderung der Artikel-29-Daten- 
schutzgruppe, interoperable Forma- 
te zu entwickeln,“ stellt zwar ebenso 
wenig eine rechtliche Verpflichtung 
dar wie die entsprechende Regelung in 
Erwägungsgrund 68 der Datenschutz- 
grundverordnung.‘ Allerdings müssen 
die Verantwortlichen den betroffenen 
Person die Ausübung ihrer Rechte er- 
leichtern (Artikel 12 Absatz 2 Satz 1 
DSGVO) und Aufsichtsbehörden können 
Verantwortliche anweisen, den Anträ- 
gen der betroffenen Personen zu ent- 
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sprechen (Artikel 58 Absatz 2c DSGVO). 
Es wird zudem darauf verwiesen, dass 
die Nachfrage der Nutzer nach Intero- 
perabilität einen wirtschaftlichen Druck 
auf die Dienstleister erzeugen könne.‘ 
Allerdings ist zu berücksichtigen, dass 
geeignete Formate bereits existieren 
und in der Datenübertragbarkeit keine 
technische Hürde gesehen wird.‘ Die 
Verantwortlichen können die personen- 
bezogenen Daten in offenen Formaten 
(wie XML, JSON oder CSV) bereitstellen, 
sofern es für eine gegebene Branche 
oder für einen gegebenen Kontext keine 
gängigen Formate geben sollte.“ 

Ein Dokument gilt als maschinen- 
lesbar, wenn es in einem Dateiformat 
vorliegt, das so strukturiert ist, dass 
Softwareanwendungen die konkreten 
Daten, einschließlich einzelner Sach- 
verhaltsdarstellungen und deren in- 
terner Struktur, einfach identifizieren, 
erkennen und extrahieren können.“ 
Bei einem maschinenlesbaren Format 
geht es daher vorrangig um die automa- 
tisierte Auslesbarkeit und Verarbeitbar- 
keit durch Software.°’ So lehnt Artikel- 
29-Datenschutzgruppe pdf-Fassungen 
eines E-Mail-Eingangsfachs als ausrei- 
chend strukturiertes Format ab, da es 
nicht die Wiederverwendung der Daten 
ermöglicht.?' 


V. Abgrenzung zum Auskunftsrecht 


Das Auskunftsrecht (Artikel 15 
DSGVO) ist zwar grundsätzlich nicht mit 
dem Recht auf Datenübertragbarkeit zu 
verwechseln. Dennoch ist der Historie 
des Gesetzgebungsverfahrens zu ent- 
nehmen, dass das Recht auf Datenüber- 
tragbarkeit ursprünglich als Verbesse- 
rung des Auskunftsrechts gedacht war.” 
Im ersten Entwurf einer Datenschutz- 
grundverordnung (2012) umfasste das 
Recht auf Datenübertragbarkeit einen 
Anspruch auf Kopie sämtlicher (verar- 
beiteter) Daten in einem gängigen elek- 
tronischen Format, was nun in der gel- 
tenden Fassung in Artikel 15 Absatz 3 
DSGVO (Auskunftsanspruch) geregelt 
ist.’ 

Der Unterschied zwischen dem Recht 
auf Datenübertragbarkeit und dem Aus- 
kunftsanspruch besteht auch in den je- 
weiligen Formaten. In Artikel 15 Absatz 3 
DSGVO ist geregelt, dass bei elektroni- 
scher Antragstellung die Auskunft in 


einem gängigen elektronischen Format 
zu erteilen ist, während beim Recht 
auf Datenübertragbarkeit ein maschi- 
nenlesbares Format gefordert ist. Eine 
Auskunft kann daher auch in einem 
pdf-Dokument im Sinne eines gängigen 
elektronischen Formats erfolgen, wäh- 
rend dies beim Recht auf Datenüber- 
tragbarkeit regelmäßig nicht möglich 
ist (siehe hierzu insbesondere auch die 
obigen Ausführungen unter IV.). 

Eine andere Frage ist es, inwiefern das 
informationelle Selbstbestimmungs- 
recht aufgrund eines Rechts auf Daten- 
übertragbarkeit gestärkt wird. Ob dem 
Betroffenen zusätzlich zu seinem Aus- 
kunftsrecht auch ein Recht auf Daten- 
übertragbarkeit zusteht, hängt von der 
Rechtsgrundlage der Verarbeitung ab. 
Nur bei vertragsrelevanten Daten und 
bei Daten, die mit Einwilligung verar- 
beitet werden, kommt ein solches Recht 
überhaupt in Betracht. Daher kann die 
Frage auch gegenteilig dahingehend 
gestellt werden, ob das informationelle 
Selbstbestimmungsrecht des Betroffe- 
nen eingeschränkt ist, wenn ihm nur ein 
Auskunftsanspruch zusteht, etwa wenn 
Daten nicht aufgrund einer Einwilligung, 
sondern aufgrund berechtigter Inter- 
essen verarbeitet werden. Zu bedenken 
sind hier jedoch die folgenden Überle- 
gungen: Es vereinfacht zwar insoweit 
den Rechtsverkehr, wenn Daten direkt 
an Dritte übermittelt werden. Das Grund- 
recht auf Datenschutz wäre jedoch be- 
reits genüge getan, wenn die betroffene 
Person darüber im Bilde ist, wer welche 
Daten zu welchem Zweck über sie verar- 
beitet und sie in die Lage versetzt wird, 
diese Informationen selbstbestimmt an 
Dritte weiterzugeben (etwa eine Boni- 
tätsauskunft an den Vermieter). Dies 
könnte aber auch durch einen Ausdruck 
der Daten in einem Papierformat oder im 
Rahmen eines übermittelten pdf-Doku- 
ments erfolgen. Die Maschinenlesbarkeit 
des Formats und die Datenübertragung 
„mittels eines Klicks” stellen ein fort- 
schrittliches Mittel für die betroffenen 
Personen dar, ihr Recht einfacher aus- 
zuüben, aber sind im eigentlichen Sinne 
für die Verwirklichung ihres informatio- 
nellen Selbstbestimmungsrechts nicht 
unbedingt notwendig. 

Eine Stärkung des informationellen 
Selbstbestimmungsrechts ist aber in 
den Fällen zu bejahen, in denen ein An- 
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bieterwechsel und/oder ein Umzug des 
kompletten Datenbestandes, insbeson- 
dere ein Wechsel zu datenschutzfreund- 
lichen Technologien erfolgen soll. Ein 
solches Vorhaben darf nicht daran 
scheitern, dass die personenbezogenen 
Daten nicht so verwendet werden kön- 
nen, wie es der Betroffene vorsieht. 


VI. Unentgeltlichkeit 


Die Verpflichtung des Verantwortli- 
chen, dem Recht auf Datenübertragbar- 
keit unentgeltlich nachzukommen, er- 
gibt sich aus Artikel 12 Absatz 5 DSGVO. 
Nur bei offenkundig unbegründeten 
oder - insbesondere im Fall von häufiger 
Wiederholung - exzessiven Anträgen ei- 
ner betroffenen Person kann der Verant- 
wortliche entweder ein angemessenes 
Entgelt verlangen oder sich weigern, 
aufgrund des Antrags tätig zu werden. 
Für das Merkmal „exzessiv” müssen 
noch praxistaugliche Auslegungskri- 
terien entwickelt werden. Im Übrigen 
bietet die SCHUFA auf ihrer Seite ge- 
gen monatliche Gebühr die Möglichkeit 
an, die gespeicherten Daten jederzeit 
online einzusehen. Dies betrifft zwar 
das Auskunftsrecht. Aber mit Blick auf 
künftige Geschäftsmodelle könnte die 
Frage gestellt werden, ob beispielsweise 
bei monatlicher Übertragung der Daten 
einer FitnessApp an eine Krankenver- 
sicherung eine entsprechende Gebühr 
wegen „exzessiver Anträge“ in Betracht 
kommen darf. 


VII. Geltendmachung des Rechts 


Die betroffene Person kann beim Ver- 
antwortlichen einen Antrag stellen. Hier 
besteht Formfreiheit. Dennoch emp- 
fiehlt es sich für die Betroffenen schon 
aufgrund der in Artikel 12 Absatz 3 und 
Absatz 4 DSGVO geregelten Fristen, den 
Antrag schriftlich oder zumindest per 
E-Mail zu stellen. Sofern die betroffene 
Person ihre Identität nicht nachweisen 
kann, kann der Verantwortliche die Da- 
tenübertragung zudem verweigern (Ar- 
tikel 12 Absatz 2 DSGVO). 

Sofern der Verantwortliche die Daten- 
übertragung ablehnt, muss er dies be- 
gründen. Gemäß Artikel 12 Absatz 4 DS- 
GVO unterrichtet er die betroffene Per- 
son insoweit ohne Verzögerung, spätes- 
tens aber innerhalb eines Monats nach 
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Eingang des Antrags über die Gründe 
hierfür und über die Möglichkeit, bei 
einer Aufsichtsbehörde Beschwerde 
einzulegen oder einen gerichtlichen 
Rechtsbehelf einzulegen. Ein Grund der 
Verweigerung könnte etwa die techni- 
sche Machbarkeit darstellen. Hierbei 
handelt es sich um einen unbestimmten 
Rechtsbegriff, der subjektiv als auch 
objektiv ausgelegt werden kann.°* Eine 
objektive Auslegung könnte kleine und 
mittelständische Unternehmen belas- 
ten, sofern die individuelle Leistungs- 
fähigkeit keine Rolle spielt. Daher wird 
derzeit darauf verwiesen, dass sich die 
technische Machbarkeit nach den beim 
Verantwortlichen schon vorhandenen 
technischen Möglichkeiten sowie nach 
der wirtschaftlichen Verhältnismäßig- 
keit richten soll. °° Hierzu gibt es insge- 
samt zwar noch keine konsolidierte Auf- 
fassung. Es wird jedoch eine Mitwirkung 
des Verantwortlichen in verhältnismä- 
ßigen Umfang verlangt, etwa bei der 
Anpassung der Übertragungsformate.’° 

Die Aufsichtsbehörde hat im Übrigen 
die Möglichkeit, den Verantwortlichen 
anzuweisen, den Anträgen der betroffe- 
nen Person auf Ausübung der ihr nach 
dieser Verordnung zustehenden Rechte 
zu entsprechen (Artikel 58 Absatz 2c 
DSGVO). Davon ist dementsprechend 
auch das Recht auf Datenübertragbar- 
keit umfasst. Möchte die betroffene 
Person das Recht auf Datenübertragbar- 
keit gerichtlich durchsetzen, können 
je nach Anspruchsgegner unterschied- 
liche Gerichte zuständig sein (Zivilge- 
richt, Arbeitsgericht, Sozialgericht, 
Verwaltungsgericht, Finanzgericht).’” 

In jedem Falle muss der Betroffene 
berücksichtigen, dass mit der Geltend- 
machung seines Rechts auf Datenüber- 
tragbarkeit keine Löschung seiner Da- 
ten verbunden ist. Dieses Recht muss er 
zusätzlich ausüben. Dies ist vor allem zu 
beachten, wenn die unmittelbare Über- 
tragung von einem Verantwortlichen 
auf den anderen aufgrund eines Wech- 
sels des Dienstes verlangt wird, mit der 
nicht die automatische Löschung des 
Datenbestandes bei dem ursprüngli- 
chen Dienstleister verbunden ist. 


Fazit 


Das Recht auf informationelle Selbst- 
bestimmung kann insgesamt dadurch 


besonders gestärkt werden, wenn mit 
der Geltendmachung des Rechts auf 
Datenübertragbarkeit zugleich die Mög- 
lichkeit des Selbstdatenschutzes oder 
ein Wechsel des Datenbestandes zu da- 
tenschutzfreundlichen Technologien 
verbunden wird.°® Es wird der Rahmen 
für viele neue Dienste geschaffen, die 
den Verbrauchern zugutekommen kön- 
nen. So sind Rabattmodelle als Gegen- 
leistung für die Übertragung von per- 
sonenbezogenen Daten denkbar. Hier 
muss die betroffene Person allerdings 
besonderes Augenmerk darauf legen, 
wem sie ihre Daten zu welchem Preis 
anvertraut und vor allem stets daran 
denken, dass mit der Datenportabilität 
keine automatische Löschung der Da- 
ten beim ursprünglichen Dienstleister 
erfolgt. 

In Abgrenzung zum Auskunftsrecht 
muss beim Recht auf Datenübertrag- 
barkeit im Übrigen genau differenziert 
werden, auf welcher Rechtsgrundlage 
die Datenverarbeitung erfolgt ist: Nur 
bei Einwilligung, bei Daten, die zur Ver- 
tragserfüllung erforderlich sind oder 
bei Daten, die die betroffene Person 
aufgrund ihres Verhaltens bzw. ihrer 
Aktivitäten generiert hat, besteht ein 
Anspruch auf Datenübertragbarkeit. 
Daher ist bei einer Datenverarbeitung 
aufgrund eines berechtigten Interesses 
von vorneherein ein Anspruch auf Da- 
tenübertragbarkeit auszuschließen. 

In einigen bisherigen Geschäftsfel- 
dern wird das Recht auf Datenüber- 
tragbarkeit darüber hinaus bereits aus 
rein praktischen Erwägungen keine 
Rolle spielen. Im Übrigen ist im Einzel- 
fall denkbar, dass das informationelle 
Selbstbestimmungsrecht der betroffe- 
nen Person durch das Auskunftsrecht 
ebenso gut umgesetzt wird. 


1 Siehe hierzu Hennemann, Ping 01.17, 
S. 6 mit Verweis auf Erwägungsgrund 68 
der Datenschutzgrundverordnung. 


2 Siehe Jüllicher/Röttgen/v.Schönfeld, 
ZD 2016, S. 360. Bei der Datenübertra- 
gung auf eine andere automatisierte 
Anwendung wurde der Fokus auf soziale 
Netzwerke gelegt und die betroffene Per- 
son hatte einen Anspruch auf Übertra- 
gung der vertragsrelevanten Daten bzw. 
der Daten, die mit ihrer Einwilligung 
zur Verfügung gestellt wurden. Siehe 
Jüllicher/Röttgen/v.Schönfeld, ZD 2016, 
5.360/362; Hennemann, Ping 01.17., 
S. 6; Strubel, ZD 8/2017, S. 359 mit dem 
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Hinweis, dass ursprünglich angedacht 
war, das Recht auf Datenübertragbarkeit 
auf die Angebote Sozialer Medien zu 
begrenzen; Schätzle, Ping 02.16, S. 74 
mit dem Hinweis auf die Kritik, dass es 
bei dem Recht auf Datenübertragbarkeit 
nicht um den Schutz der Privatsphäre 
gehe, sondern es sich vielmehr um ein 
wettbewerbspolitisches Instrument 
handele. Hennemann, Ping 01.17., 5.6 
mit Verweis auf den wettbewerblichen 
Ansatz sowie auf die Aussage von Jan 
Albrecht (Berichterstatter des Euro- 
päischen Parlaments zur Datenschutz- 
grundverordnung), derin Artikel 20 
einen Katalysator eines Wettbewerbs um 
datenschutzfreundliche Technologien 
sieht. 


3 Siehe Stiftung Datenschutz, https:// 
stiftungdatenschutz.org/themen/ 
datenportabilitaet/. 


4 Artikel-29-Datenschutzgruppe, WP 242 
Guidelines on the rightto data porta- 
bility vom 13.12.2016 und Artikel-29- 
Datenschutzgruppe, WP 242 Guidelines 
ontherightto data portability vom 
05.04.2017 


5 Artikel-29-Datenschutzgruppe, WP 242, 
5.8. 


6 Artikel-29-Datenschutzgruppe, WP 242, 
S. 11/12; Benedikt, RDV 2017, S. 190; 
Jüllicher/Röttgen/v.Schönfeld, ZD 2016, 
S. 359, die ein aktives Tun als Vorausset- 
zung ablehnen. 


7 Artikel-29-Datenschutzgruppe, WP 242, 
5.10. 


8 Ergänzender Hinweis: Für die betrof- 
fenen Personen empfiehlt es sich insge- 
samt, die Entwicklung der (europawei- 
ten) Praxis im Auge zu behalten. So wird 
in Bezug auch auf die Übermittlung von 
positiven Vertragsdaten an Wirtschafts- 
auskunfteien vertreten, dass keine 
Einwilligung erforderlich sei, sondern 
diese aufgrund eines berechtigten 
Interesses erfolgen darf (Buchner/Petri 
in: Kühling/Buchner, DS-GVO - BDSG, 
Artikel 6 DS-GVO Rn. 164.) Daher muss 
man bei einer Übermittlung aufgrund 
eines berechtigten Interesses regelmäßig 
davon ausgehen, dass die Weitergabe der 
Daten an den Dritten nicht auf Veranlas- 
sung des Betroffenen erfolgt ist (siehe 
auch die nachfolgenden Ausführungen 
unter „observed data”). 

Dem Betroffenen steht jedoch in jedem 
Falle ein Auskunftsanspruch zu (Artikel 
15 DSGVO). 


9 Herbst in: Kühling/Buchner, DS-GVO - 
BDSG, Artikel 20 DS-GVO Rn. 11. 


10 Artikel-29-Datenschutzgruppe, WP 242, 
5.10. 


11 Artikel-29-Datenschutzgruppe, WP 242, 
S. 10. Herbst in: Kühling/Buchner, DS- 


80 


GVO - BDSG, Artikel 20 DS-GVO Rn. 13 
weist darauf hin, dass durch diese 
Einschränkung dem Verantwortlichen 
der Aufwand erspart wird, etwaige nicht 
maschinenlesbare Aufzeichnungen in 
maschinenlesbare Daten umzuwandeln. 


12 BGH, Urteil vom 28. Januar 2014, Akten- 


zeichen: VIZR 156/13. Der BGH vertritt 
die Auffassung, dass das gesetzgebe- 
rische Ziel eines transparenten Verfah- 
rens dadurch erreicht wird, dass für den 
Betroffenen ersichtlich ist, welche kon- 
kreten Umstände als Berechnungsgrund- 
lage in die Ermittlung des Wahrschein- 
lichkeitswerts eingeflossen sind. Aber 
etwa die Gewichtung der in den Score- 
wert eingeflossenen Merkmale muss 
jedoch im Rahmen eines Auskunftsersu- 
chens nicht benannt werden. Im Übrigen 
versucht die Initiative „OpenSCHUFA” 
gerade per Crowdfunding Gelder für ein 
Projekt zu sammeln, in welchem eine 
Auswertungs-Software hinsichtlich des 
von der SCHUFA verwendeten Algorith- 
mus entwickelt wird. Es sollen mögliche 
Fehler im Algorithmus sowie innerhalb 
der Schnittstellen zu den Vertragspart- 
nern untersucht werden. 


13 Buchner in: Kühling/Buchner, DS-GVO - 


BDSG, 8 31 BDSG Rn. 6. 


14 In diesem Sinne auch Buchner/Petri 


in: Kühling/Buchner, DS-GVO - BDSG, 
Artikel 6 DS-GVO Rn. 66. 


15 Vorschlag für eine VERORDNUNG DES 


EUROPÄISCHEN PARLAMENTS UND DES 
RATES über die Achtung des Privat- 
lebens und den Schutz personenbe- 
zogener Daten in der elektronischen 
Kommunikation und zur Aufhebung der 
Richtlinie 2002/58/EG (Verordnung 
über Privatsphäre und elektronische 
Kommunikation) vom 10.01.2017 (E- 
Privacy-Verordnung). Gemäß Artikel 

95 der Datenschutzgrundverordnung 
werden natürlichen oder juristischen 
Personen in Bezug auf die Verarbeitung 
in Verbindung mit der Bereitstellung 
öffentlich zugänglicher elektronischer 
Kommunikationsdienste in öffentlichen 
Kommunikationsnetzen in der Union 
keine zusätzlichen Pflichten auferlegt, 
soweit sie besonderen in der Richtlinie 
2002/58/EG festgelegten Pflichten 
unterliegen, die dasselbe Ziel verfol- 
gen. Die E-Privacy-Verordnung ist die 
Nachfolgeregelung und präzisiert und 
ergänzt durch die Festlegung besonderer 
Vorschriften die Datenschutzgrundver- 
ordnung. 


16 Siehe Artikel 4 Absatz 3 c) des Entwurfs 


der E-Privacy-Verordnung. 


17 Bitkom, Stellungnahme Datenporta- 


bilität, S. 10 mit dem Verweis unter 
anderem darauf, dass Verkehrs- und 
Standortdaten als Folge standardisier- 
ter Protokolle anfallen und nicht am 


Willen der Beteiligten hängen, sondern 
vom Kommunikationsvorgang initiiert 
werden. Abrufbar unter https://www. 
bitkom.org/noindex/Publikationen/2017/ 
Positionspapiere/20170411-Stellungnahme- 
Datenportabilitaet-Fin.pdf 


18 Artikel-29-Datenschutzgruppe, WP 242 
5-11: 


19 Artikel 6 Absatz 2c) der E-Privacy-Ver- 
ordnung. 


20 Die betroffene Person hat das Recht, die 
sie betreffenden personenbezogenen 
Daten, die sie einem Verantwortlichen 
bereitgestellt hat, in einem struktu- 
rierten, gängigen und maschinenles- 
baren Format zu erhalten, und sie hat 
das Recht, diese Daten einem anderen 
Verantwortlichen ohne Behinderung 
durch den Verantwortlichen, dem die 
personenbezogenen Daten bereitgestellt 
wurden, zu übermitteln, sofern die Ver- 
arbeitung auf einer Einwilligung beruht. 


21 Im Übrigen ergreift die Bundesnetz- 
agentur zurzeit bzw. nach 8 113b TKG 
keine Maßnahmen (Bußgeld), um die 
Verpflichtung zur Vorratsdatenspeiche- 
rung umzusetzen, siehe https:// www. 
bundesnetzagentur.de/DE/Sachgebiete/ 
Telekommunikation/Unternehmen_ 
Institutionen/Anbieterpflichten/ 
OeffentlicheSicherheit/Umsetzung110TKG/ 
VDS_113aTKG/VDS.html;jsessionid= 
D4F71FC38673C1A16E69195D6334AA05 


22 Das Auskunftsrecht besteht gemäß 
8 34 Abs. 4i.V.m. 8 33 Abs. 2 Satz 1 
Nr. 3 BDSG nicht, wenn die Daten nach 
einer Rechtsvorschrift oder wegen des 
überwiegenden rechtlichen Interesses 
eines Dritten geheim gehalten werden 
müssen. 


23 Fraglich ist allenfalls, ob es seitens 
der Telekommunikationsunternehmen 
praktikabel wäre, eine Bestätigung der 
betroffenen Person zu verlangen, dass 
keine Rechte Dritter betroffen sind: Der 
Anschlussinhaber ist für den Daten- 
schutz der Mitbenutzer verantwortlich. 
Infolgedessen könnte ebenso eine 
entsprechende Bestätigung eingeholt 
werden, dass Mitbenutzer entweder ihre 
Einwilligung erteilt haben oder keine 
Mitbenutzer vorhanden sind. 


24 https://www.ldi.nrw.de/mainmenu_ 
Datenschutz/submenu_Technik/Inhalt/ 
TechnikundOrganisation/Inhalt/Zur- 
Anwendbarkeit-des-TMG-fuer-nicht- 
oeffentliche-Stellen-ab-dem-25_-Mai- 
2018/Positionsbestimmung-TMG.pdf 


25 Der Abänderungsvorschlag des Europä- 
ischen Parlaments sieht im Übrigen vor, 
dass nur aggregierte Daten verwendet 
und keine personenbezogenen Daten an 
Dritte übermittelt werden dürfen. Siehe 
den Vergleich der Fassungen der E-Privacy- 
Verordnung von EU-Kommission und EU- 
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Parlament unter https://www.lda.bayern. 
de/media/eprivacy_synopse.pdf 


26 Siehe Studie der Stiftung Datenschutz 
„Neue Wege bei der Einwilligung im Da- 
tenschutz” und die rechtliche Stellung- 


nahme zu der Thematik (Anne Riechert), 


S. 16 ff, insbesondere S. 20. (https:// 
stiftungdatenschutz.org/fileadmin/ 
Redaktion/Bilder/Abschluss_Studie_ 
30032017/stiftungdatenschutz_ 
Stellungnahme_Rechtliche_Aspekte_ 
eines_Einwilligungsassistenten_ 
Anhang_1_final.pdf). 


27 Artikel-29-Datenschutzgruppe, Gui- 
delines on Consent under Regulation 
2016/679 (wp259rev.01), 

S. 16, abrufbar unter http://ec.europa. 
eu/newsroom/article29/document. 
cfm?action=display&doc_id=51030. 


28 Siehe Studie der Stiftung Datenschutz 
„Neue Wege bei der Einwilligung im 
Datenschutz”. Die enthaltene rechtliche 
Stellungnahme zu der Thematik (Anne 
Riechert), abrufbar unter https:// 
stiftungdatenschutz.org/fileadmin/ 
Redaktion/Bilder/Abschluss_Studie_ 
30032017/stiftungdatenschutz_ 
Stellungnahme_Rechtliche_Aspekte_ 
eines_Einwilligungsassistenten_ 
Anhang_1_final.pdf enthält aufS. 16 ff. 
Ausführungen zur Umsetzung der Richt- 


linie 2002/58 EG (2009/136/EG) und der 


Praxis in Mitgliedstaaten in der EU. 
29 https://ico.org.uk/ 
30 https://ico.org.uk/global/cookies/ 


31 Siehe Studie der Stiftung Datenschutz 
„Neue Wege bei der Einwilligung im Da- 
tenschutz” und die rechtliche Stellung- 


nahme zu der Thematik (Anne Riechert), 


S. 16 ff, insbesondere S. 20. (https:// 
stiftungdatenschutz.org/fileadmin/ 
Redaktion/Bilder/Abschluss_Studie_ 
0032017/stiftungdatenschutz_ 
Stellungnahme_Rechtliche_Aspekte_ 
eines_Einwilligungsassistenten_ 
Anhang_1_final.pdf). 


32 Siehe Studie der Stiftung Datenschutz 
„Neue Wege bei der Einwilligung im 
Datenschutz”. Die enthaltene rechtliche 
Stellungnahme zu der Thematik (Anne 
Riechert), abrufbar unter https:// 
stiftungdatenschutz.org/fileadmin/ 
Redaktion/Bilder/Abschluss_Studie_ 
30032017/stiftungdatenschutz_ 
Stellungnahme_Rechtliche_Aspekte_ 
eines_Einwilligungsassistenten_ 
Anhang_1_final.pdf enthält aufS. 16 ff. 
Ausführungen zur Umsetzung der Richt- 


linie 2002/58 EG (2009/136/EG) und der 


Praxis in Mitgliedstaaten in der EU. 


33 Siehe Studie der Stiftung Datenschutz 
„Neue Wege bei der Einwilligung im Da- 
tenschutz” und die rechtliche Stellung- 
nahme zu der Thematik (Anne Riechert), 
S. 17 (https://stiftungdatenschutz.org/ 
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fileadmin/Redaktion/Bilder/Abschluss_ 
Studie_30032017/stiftungdatenschutz_ 


Stellungnahme_Rechtliche_Aspekte_ 
eines_Einwilligungsassistenten_ 
Anhang_1_final.pdf). 


34 Vorschlag für eine VERORDNUNG DES 
EUROPAISCHEN PARLAMENTS UND DES 


RATES über die Achtung des Privatlebens 


und den Schutz personenbezogener 
Daten in der elektronischen Kommuni- 
kation und zur Aufhebung der Richtlinie 
2002/58/EG (Verordnung über Privat- 
sphäre und elektronische Kommunikati- 
on) vom 10.01.2017 (E-Privacy-Verord- 
nung). 


35 Herbst in: Kühling/Buchner, DS-GVO - 
BDSG, Artikel 20 DS-GVO Rn. 11. 


36 Artikel-29-Datenschutzgruppe, WP 242 
5.13. 


37 Artikel-29-Datenschutzgruppe, WP 242 
5. 13. 


38 Artikel-29-Datenschutzgruppe, WP 242, 
S. 14. 


39 Artikel-29-Datenschutzgruppe, WP 242, 
S. 14. 


40 In diesem Zusammenhang wird außer- 
dem angemerkt, dass ein wirtschaftlich 
unverhältnismäßiger Aufwand ent- 
stünde, wenn die Betreiber Sozialer 
Netzwerke den Drittbezug manuell 
aussortieren müssten. Daher müssten 
entsprechende Algorithmen entwickelt 
werden. Siehe hierzu die Ausführungen 
von Jüllicher/Röttgen/v.Schönfeld, ZD 
2016, S. 362, die gleichzeitig aber auch 
als „Gefahr“ ansehen, wenn nur Be- 
standsdaten übertragen werden sollten. 


41 Siehe etwa die Dienste „DigiMe“” oder 
„MyData“ (behandelt in der Studie der 
Stiftung Datenschutz zum Thema „Neue 
Wege bei der Einwilligung im Daten- 
schutz“, https://stiftungdatenschutz. 
org/themen/pims-studie/) 


42 Auf die klärungsbedürftige Frage nach 
dem Dateneigentum verweisen unter 
anderem Gerl/Pohl, The Rightto data 
portability between legal possibilities 
and technical boundaries, in der Studie 
der Stiftung Datenschutz „Praktische 
Umsetzung des Rechts auf Datenüber- 
tragbarkeit”, S. 208 ff. 


43 Siehe etwa Lindhorst, Sanktionsdefizite 
im Datenschutzrecht (2009), S. 66 ff. zur 
informationellen Selbstbestimmung als 
Vermögensrecht; Unseld, Die Kommer- 
zialisierung personenbezogener Daten 
(2010), S. 14 mit der Anmerkung, dass 
nur die zugrundeliegenden Datenträger 
kommerzialisiert werden, nicht aber die 
Person. Bezüglich dieser Daten (und Da- 
tenträger) müssten Rechte eingeräumt 
werden. Siehe auch Klüber, Persönlich- 


keitsschutz und Kommerzialisierung: die 


juristisch-ökonomischen Grundlagen 


des Schutzes der vermögenswerten Be- 
standteile des allgemeinen Persönlich- 
keitsrechts (2007), S. 82: Es werde erst 
im Rahmen einer rechtlichen Wertung 
entschieden, ob die Persönlichkeitsde- 
tails der Allgemeinheit zugewiesen sind 
und damit öffentliche Güter darstellen 
oder ob der der Einzelne ein uneinge- 
schränktes Verwertungsrecht an der 
eigenen Persönlichkeit hat. Weiter weist 
Klüber (aa0) auf die Rechtsprechung 
hin, nach welcher die vermögensrecht- 
liche Seite des allgemeinen Persönlich- 
keitsrechts zwar anerkannt werde, ein 
kommerzieller Zuweisungsgehalt aber 
davon abhänge, dass zum einen die 
Erlaubnis zur Verwertung üblicherweise 
nur gegen Zahlung eines Entgelts erfolge 
und zum anderen die betroffene Person 
auch nutzungsbereit gewesen sei. 


44 Artikel-29-Datenschutzgruppe, WP 242, 


3:21; 


45 Interoperabel bedeutet die Fähigkeit 


verschiedener und unterschiedlicher 
Organisationen zur Interaktion zum 
beiderseitigen Nutzen und im Interesse 
gemeinsamer Ziele, siehe hierzu Artikel- 
29-Datenschutzgruppe, WP 242, S. 20 
mit Verweis auf Artikel 2 des Beschlusses 
Nr. 922/2009/EG des Europäischen Par- 
laments und des Rates vom 16. Septem- 
ber 2009 über Interoperabilitätslösungen 
für europäische öffentliche Verwal- 
tungen (ISA) (ABl. L 260 vom3.10.2009, 
5. 20). 


46 Herbst in: Kühling/Buchner, DS-GVO - 


BDSG, Artikel 20 DS-GVO Rn. 21. 


47 Siehe den Hinweis der Artikel-29-Daten- 


schutzgruppe auf die Existenz geeig- 
neter Formate, WP 242, S. 20. Siehe auch 
Gerl/Pohl, The Right to data portability 
between legal possibilities and technical 
boundaries (in der Studie der Stiftung 
Datenschutz „Praktische Umsetzung 

des Rechts auf Datenübertragbarkeit“, 
S. 208 ff.), wobei diese Autoren in 

ihrer Stellungnahme die allgemeinen 
Bedingungen für ein entsprechendes 
Datenübertragungsformat anhand von 
unterschiedlichen Szenarien beschrei- 
ben und in der Übertragbarkeit an sich 
keine technische Hürde sehen. 


48 Artikel-29-Datenschutzgruppe, WP 242, 


S. 21. 


49 Artikel-29-Datenschutzgruppe, WP 242, 


S. 20 mit Verweis auf Erwägungsgrund 
21 der Richtlinie 2013/37/EU. 


50 Siehe zur Maschinenlesbarkeit auch 


BeckOK DatenSR/von Lewinski DS-GVO 
Art. 20 Rn. 74-75. 


51 Artikel-29-Datenschutzgruppe, WP 242, 


3: 21: 


52 Siehe Erwägungsgrund 55 des Vor- 


schlags für eine VERORDNUNG DES 


8 


EUROPÄISCHEN PARLAMENTS UND DES 
RATES zum Schutz natürlicher Personen 
bei der Verarbeitung personenbezogener 
Daten und zum freien Datenverkehr 
(Datenschutz-Grundverordnung) vom 
25.01.2012, KOM(2012) 11 endgültig. 


53 Artikel 18 Absatz 1 des Entwurfs des 
Vorschlags für eine VERORDNUNG DES 
EUROPÄISCHEN PARLAMENTS UND DES 
RATES zum Schutz natürlicher Personen 
bei der Verarbeitung personenbezogener 


Philipp Schmidtke 


Daten und zum freien Datenverkehr 
(Datenschutz-Grundverordnung) vom 
25.01.2012, KOM(2012) 11 endgültig 


54 Hennemann, Ping 01.17, 5.8. 


55 Herbst in: Kühling/Buchner, DS-GVO - 
BDSG, Artikel 21 DS-GVO Rn. 27, auch 
mit Verweis auf Schürmann in Auern- 
hammer Artikel 20 Rn. 30. 


56 Herbst in: Kühling/Buchner, DS-GVO - 
BDSG, Artikel 21 DS-GVO Rn. 27. 


Vereine unter der DSGVO 


Wenn in Deutschland ein Hobby mehr 
als nur sporadisch ausgeübt wird, findet 
es meist in einem Verein statt. 44 % al- 
ler Deutschen sind in einem der 600.000 
Vereine organisiert. Die Bandbreite 
reicht hier von den Klassikern Sport-, 
Musik-, Kegelverein bis zum (vom Autor 
frequentierten) Debattierverein. Nun ist 
die Datenschutzgrundverordnung (DS- 
GVO) da und viele Vereinsmeier fragen 
sich: Was tun? Der Landesbeauftragte 
für Datenschutz und Informationsfrei- 
heit in Baden-Württemberg Dr. Stefan 
Brink kündigt an: „Vereine, die doku- 
mentieren, dass sie sich Gedanken ge- 
macht haben, werden von uns zunächst 
eher keine Probleme bekommen.”? Da- 
raus lassen sich zwei Dinge schließen: 
Zum einen sollten Vereine sich aktiv um 
dieses Thema kümmern und zum an- 
deren ist die Schonung nur zeitlich be- 
grenzt. Grundsätzliche Informationen 
lassen sich zwar schon in einer Vielzahl 
von Ratgebern finden, unter anderem 
von Herr Dr. Brinks eigener? und von 
anderen Behörden.‘ Hier mangelt es 
jedoch häufig an dem notwendigen 
konkreten Praxisbezug, der den Daten- 
schutz aus seiner rechtlichen Sphäre in 
operationalisierbare Handlungsanwei- 
sungen holt. Hier möchte dieser Aufsatz 
ansetzen und am Beispiel die abstrakten 
rechtlichen Problematiken darstellen. 
Das Problematische am Datenschutz 
ist jedoch, dass einem Laien des Da- 
tenschutzrechts der Blick für relevante 
Problemfelder meist fehlt und somit ggf. 
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Hilfe von einem Sachkundigen gar nicht 
erst nötig erscheint. Darum möchte ich 
in diesem Text am Beispiel eines typi- 
schen Vereins die verschiedenen Tätig- 
keiten durchgehen und dabei typische 
Problemfelder beleuchten. 

Als Beispiel dient der Debattierclub 
der Universität Münster e.V., einer der 
vielen Vereine des Hochschuldebattie- 
rens in Deutschland.° Er besteht aus 
rund 30 aktiven und über 100 passiven 
Mitgliedern. Der vierköpfige Vorstand 
verwaltet, mit weiteren Freiwilligen, die 
Clubaktivitäten. Diese bestehen neben 
der allgemeinen Mitgliederverwaltung 
aus wöchentlichen Trainings, Teilnahme 
an Turnieren und der eigenen Ausrich- 
tung von Turnieren. 


Die Grundlagen 


Bevor die typischen praktischen Prob- 
lemfelder beleuchtet werden, zunächst 
ein Überblick über die juristischen Kon- 
zepte, welche alle Problemfelder betref- 
fen: 


1. Sind die DSGVO und das BDSG 
überhaupt auf Vereine anwendbar? 


Ja. Dies bedauert Dr. Stefan Brink: 
„Die DSGVO differenziert leider nur 
wenig zwischen multinationalen Un- 
ternehmen und nichtkommerziellen 
Vereinen.” Gem. Art. 2 Abs. 1 DSGVO 
gilt die DSGVO für zumindest teilweise 
automatisierte oder nichtautomatisier- 


57 Herbst in: Kühling/Buchner, DS-GVO - 
BDSG, Artikel 21 DS-GVO Rn. 35. 


58 Siehe zu mehr Transparenz und Selbst- 
datenschutz auch die Studie der Stiftung 
Datenschutz „Neue Wege bei der Einwil- 
ligung im Datenschutz“, insbesondere 
auch zu „Personal Information Manage- 
ment Services” (PIMS) https://stiftung- 
datenschutz.org/themen/pims-studie/ 


te Verarbeitungen, die systematisch 
gespeichert werden sollen. Das bedeu- 
tet, dass Vereine, die zumindest die 
Namen der Mitglieder erfassen, schon 
im Geltungsbereich der Norm sind. Das 
Bundesdatenschutzgesetz (BDSG), die 
deutsche Ergänzung zur europäischen 
Verordnung, wendet die gleichen Kri- 
terien in 8 1 Abs. 15. 2 BDSG auf sehr 
weitreichend definierte „nichtöffentli- 
che Stellen“ an, der Vereine unterfallen. 
Dabei kommt es nicht darauf an, ob der 
Verein ein eingetragener Verein ist oder 
nicht.’ 


2. Muss ein Verein ein Verzeichnis 
von Verarbeitungen führen? 


Ja. Ein Verzeichnis von Verarbeitun- 
gen fasst alle Verarbeitungen eines 
Verantwortlichen so zusammen, dass 
eine Behörde bei der Kontrolle sofort 
eine vertiefte Übersicht über die daten- 
schutzrechtlich relevanten Tätigkeiten 
eines Verantwortlichen hat. Es muss im 
Vorhinein erstellt werden, um im Be- 
darfsfall zügig vorgelegt werden zu kön- 
nen. Dem Verantwortlichen kann es hel- 
fen überflüssige Verarbeitungen oder zu 
umfangreiche Zugriffsrechte zu entde- 
cken. Wenn personenbezogene Daten 
verarbeitet werden, greift Art. 30 DS- 
GVO. Art. 30 DSGVO gilt für zunächst 
für jeden Verarbeiter. Die Ausnahme 
wegen weniger als 250 Mitarbeitern 
aus Art. 30 Abs. 5 DSGVO greift in den 
allermeisten Fällen nicht, da unter den 
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Rückausnahmen auch die regelmäßige 
Verarbeitung aufgezählt wird. Verarbei- 
tung ist in Art. 4 Nr. 2 DSGVO definiert 
und beschreibt fast jede Tätigkeit im 
Zusammenhang mit Daten. Regelmäßig 
ist jede Verarbeitung, die in einem wie- 
derkehrenden Rhythmus vorgenommen 
wird. 

Der Debattierclub Münster verarbeitet 
nicht nur gelegentlich, sondern regel- 
mäßig personenbezogene Daten: Dies 
geschieht schon alleine mit der vereins- 
rechtlich zwingend erforderlichen jähr- 
lichen Ladung zur Mitgliederversamm- 
lung, unabhängig davon, ob sie per E- 
Mail oder als Serienbrief versendet wird. 

Ein Beispiel für ein Verzeichnis von 
Verarbeitungen wurde vom Bayerischen 
Landesamt für Datenschutz veröffent- 
licht? und nennt beispielhaft als Verar- 
beitungstätigkeiten: Lohnabrechnun- 
gen, Mitgliederverwaltung, Betrieb der 
Website des Sportvereins, Veröffentli- 
chung von Fotos der Mitglieder und die 
Beitragsverwaltung. Diese und weitere 
Verarbeitungstätigkeiten werden unten 
im jeweiligen Abschnitt der Vereins- 
tätigkeit näher beleuchtet. Zweck der 
Verarbeitung ist immer der in der Ver- 
einssatzung festgelegte Vereinszweck, 
der aber für jeden einzelnen Verarbei- 
tungsvorgang konkretisiert werden 
sollte.” Freilich können je nach kon- 
kreter Vereinstätigkeit weitere Verwal- 
tungstätigkeiten hinzukommen bzw. 
einzelne beispielhaft aufgezählte Ver- 
waltungstätigkeiten entfallen. Für den 
Debattierclub kämen ergänzend noch 
Trainingsorganisation und Archivierung 
von Trainingsmaterialien, Turnieran- 
meldungen, Turnierausrichtungen, Be- 
trieb diverser E-Mail Verteiler und eine 
Spendenliste hinzu. Dafür fallen Lohn- 
abrechnung und Beitragsverwaltung 
weg, da der Verein weder Mitgliedsbei- 
träge erhebt noch Angestellte hat. 


3. Muss ein Verein eine Datenschutz- 
folgenabschätzung vornehmen? 


Meistens nein. Eine Datenschutz- 
folgenabschätzung ist nur bei Verar- 
beitungstätigkeiten erforderlich, die 
voraussichtlich hohe Risiken für natür- 
liche Personen bergen. Dies sollte für 
die allermeisten Vereine - und auch für 
den Debattierclub - nicht notwendig 
sein, da die Art und der Umfang der Da- 
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tenverarbeitung sowie die eingesetzte 
Technologie (E-Mail-Verteiler, Vereins- 
und Buchhaltungssoftware) hier keine 
relevanten Risiken bergen. 


4. Braucht ein Verein einen Daten- 
schutzbeauftragten? 


Ob ein Datenschutzbeauftragter zu 
bestellen ist, richtet sich nach Art. 37 
Abs. 1 DSGVO und 8 38 Abs. 18.1 
BDSG. 

Nach 8 37 Abs. 1 DSGVO ist dies der 
Fall, wenn die Kerntätigkeit des Ver- 
antwortlichen in einer Verarbeitung 
besteht, die nach Art, Umfang oder 
Zweck eine regelmäßige Überwachung 
von betroffenen Personen erforderlich 
macht oder wenn die Kerntätigkeit in 
der umfangreichen Verarbeitung von 
besonderen personenbezogenen Daten 
oder Daten über strafrechtliche Ver- 
urteilungen oder Straftaten besteht. 
Kerntätigkeit eines Vereins im Sinne 
des Art. 37 Abs. 1 b, c DSGVO ist die 
Haupttätigkeit eines Vereins, die ihn 
untrennbar prägt. Dazu gehören alle 
Vorgänge, die einen festen Bestandteil 
der Haupttätigkeit des Vereins darstel- 
len, aber nicht das Kerngeschäft unter- 
stützende Tätigkeiten.!° Bei Vereinen 
bestimmt sich die Kerntätigkeit nach 
dem Vereinszweck. Ein Debattierclub 
veranstaltet Debatten zur Förderung 
der allgemeinen Streitkultur. Dass dabei 
Namen und Redeleistung aufgeschrie- 
ben werden, dient nur der Organisation 
der Debatten und der Ermöglichung von 
Feedback. Ebenso spielt ein Skatverein 
Skat und das Nachhalten, wer geben 
muss, dient dieser Tätigkeit. 

Eine Pflicht zur Bestellung eines Da- 
tenschutzbeauftragten könnte sich 
somit nur aus 8 38 Abs. 1S. 1 BDSG er- 
geben, wenn mehr als 10 Personen sich 
ständig mit der automatisierten Ver- 
arbeitung personenbezogener Daten 
beschäftigen. Automatisierte Verarbei- 
tung ist dabei jeder Einsatz von elektro- 
nischer Datenverarbeitung und deswe- 
gen kaum vermeidbar. 

Dabei muss man sich vor Augen füh- 
ren, wie viele Menschen tatsächlich 
für einen Verein tätig werden. Ständig 
beschäftigt ist schon jeder, der eine 
Tätigkeit normalerweise übernimmt, 
wenn sie anfällt.'! Es muss auch keine 
Vollzeittätigkeit vorliegen und kein 


Beschäftigungsverhältnis. Mögliche 
Wechsel in der tatsächlichen Person 
hinter einer Rolle sind unbeachtlich, 
so dass ein neuer Vorstand nicht neue 4 
Personen der Liste hinzufügt, sondern 
nur die alten Rollen neu besetzt wer- 
den.'? 

Auch selten ausgeführte Tätigkeiten 
gehören, wenn sie mit einer festen Po- 
sition und Person bestimmt sind, dazu. 
Die meisten Vereine haben zwei Kassen- 
prüfer, die am Ende jedes Geschäftsjah- 
res den Bericht des Kassenwarts prüfen 
und dabei über Geldüberweisungen der 
Mitglieder natürlich auch mit perso- 
nenbezogenen Daten in Kontakt kom- 
men. Daneben können weitere durch 
Sonderaufgaben hinzukommen. Bei der 
Betrachtung der einzelnen Tätigkeiten 
werden diese Sonderfälle betrachtet. 

Um die vielfältigen Aufgaben eines 
Vereines zu bewältigen, werden sie 
meist auf viele Schultern verteilt. Hier 
müssen nun genau die Vereinsorganisa- 
tion durchgegangen und die einzelnen 
Rollen durchgezählt werden. Übersteigt 
diese Zahl 10 Personen, so ist ein Daten- 
schutzbeauftragter mit Sachkenntnis- 
nachweis zu bestellen. 


5. Wie schnell müssen Vereine die 
Anforderungen der DSGVO und des 
BDSG umsetzen 


Zügig. Die zwei Jahre Übergangsfrist 
sind vorbei und seit dem 25.05.2018 
darf grundsätzlich mit Bußgeldern ge- 
rechnet werden. Zudem drohen Abmah- 
nungen von Verbraucherverbänden auf 
Basis des $ 3 UKlaG und u.U. von Wett- 
bewerbern gemäß 8 3a UWG." Trotzdem 
geht für Vereine nach der Frist die da- 
tenschutzrechtliche Welt nicht sofort 
unter. Die Behörden werden nach den 
bisherigen Andeutungen nicht als ers- 
tes auf Vereine Jagd machen und wer- 
den auch bei gemeldeten Verstößen 
gnädiger sein, wenn erkennbar ist, dass 
der Verein sich um den Datenschutz 
bemüht hat. Die Verbraucherverbände 
können nur klagen, wenn die Daten- 
schutzrechtsverletzung zugleich gegen 
Verbraucherschutz- oder AGB-Regeln 
verstößt. Verbraucherschutzrechte fal- 
len in vielen Fällen als Grund weg, da 
Vereine keine Unternehmer im Sinne 
des 8 14 BGB sind, da sie nicht gewerb- 
lich handeln. Die von einem Verein vor- 
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formulierten und für den wiederholten 
Gebrauch vorgesehenen Mitgliedsanträ- 
ge sind zwar AGB, aber selten relevant 
genug für die Verbraucherschutzbehör- 
den, um gegen in ihnen enthaltene Feh- 
ler vorzugehen. 


Was folgt aus der DSGVO? 


Die DSGVO ist ein guter Anlass für Ver- 
eine sich Gedanken zum Datenschutz zu 
machen. Eine Veränderung des bisheri- 
gen Systems in dem oftmals behaupte- 
ten Umfang fand nicht statt. Es ist nur 
leider so, dass bisher einfach die Da- 
tenschutzregelungen nicht umgesetzt 
wurden. Worauf ist dabei nun konkret 
zu achten? Jede Verarbeitung braucht 
einen Zweck und eine Rechtsgrundla- 
ge, die im Endeffekt auf einen der Fälle 
des Art. 6 DSGVO zurückverweist. Diese 
und weitere müssen in einem Verzeich- 
nis von Verarbeitungen gemäß Art. 30 
DSGVO festgehalten werden. Jedem 
Betroffenen stehen Rechte zu. Betrof- 
fenenrechte neben der Informations- 
pflicht aus Art. 12 bis 14 DSGVO sind 
ein Auskunftsrecht gemäß Art. 15 
DSGVO, ein Recht auf Berichtigung ge- 
mäß Art. 16 DSGVO, ein Recht auf Lö- 
schung gemäß Art. 17 DSGVO, ein Recht 
auf Einschränkung der Verarbeitung 
gemäß Art. 18 und ein Recht auf Daten- 
übertragbarkeit gemäß Art. 20 DSGVO. 
Sofern in die Datenverarbeitung einge- 
willigt wurde, gibt es ein Widerspruchs- 
recht gemäß Art. 21 DSGVO. 


Der Vereinsalltag 


Der Vereinsalltag des Debattierclubs 
Münster besteht aus wöchentlichen, öf- 
fentlichen Debatten und regelmäßigen 
Trainings. Nicht nur Vereinsmitglieder, 
sondern jeder Interessierte kann teilneh- 
men. Bei einer Debatte werden zur Be- 
wertung Jurierbögen verwendet, die die 
Vornamen der Redner enthalten sowie 
Notizen zu Inhalt und Form der Reden. 

Eine Debatte ist ein guter Ausgangs- 
punkt, um Schritt für Schritt eine Vor- 
stellung zu bekommen, wie ein Ver- 
zeichnis von Verarbeitungen zu befüllen 
ist. Als erstes muss überhaupt eine Ver- 
arbeitung vorliegen. Verarbeitung ist 
gem. Art. 4 Nr. 2 DSGVO verkürzt gesagt 
jeder Vorgang oder jede Vorgangsreihe 
im Zusammenhang mit personenbezo- 
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genen Daten. Personenbezogene Daten 
sind gem. Art. 4 Nr. 1 DSGVO alle In- 
formationen, die sich auf identifizierte 
oder identifizierbare natürliche Per- 
sonen beziehen. Der Verein ist Verant- 
wortlicher, da er Zweck und Mittel der 
Verarbeitung festlegt, indem er das Re- 
gelformat vorgibt und mit Jurierbögen 
Arbeitsmaterialien stellt. Beiden Debat- 
ten werden von Juroren die Redeinhalte 
mit dem Zweck Feedback geben zu kön- 
nen auf Jurierbögen notiert, dort also 
gespeichert. Die Speicherung erfolgt 
auch systematisch, weswegen die oben 
genannten Voraussetzungen für die An- 
wendbarkeit der DSGVO erfüllt sind, da 
die Blätter nach der Rednerreihenfolge 
sortiert und nummeriert werden. Die im 
studentischen Umfeld übliche Nutzung 
von Vornamen reicht aus, um durch 
den Kontext des Vereins eine Person zu 
bestimmen. Damit werden die Informa- 
tionen einer identifizierbaren Person 
zugeordnet. Somit werden personenbe- 
zogene Daten in datenschutzrelevanter 
Weise verarbeitet. 


Befüllung des Verzeichnisses von 
Verarbeitungstätigkeiten 


Diese Verarbeitung „Debattenjurie- 
rung“ muss in das Verzeichnis von Ver- 
arbeitungen eingetragen werden. Neben 
den Kontaktdaten des Verantwortlichen 
müssen die Zwecke der jeweiligen Ver- 
arbeitung, die Kategorien betroffener 
Personen und personenbezogener Daten, 
Kategorien etwaiger Empfänger der Da- 
ten, etwaige Auslandsübermittlungen, 
wenn möglich die vorgesehene Lösch- 
frist und eine allgemeine Beschreibung 
der Technischen und Organisatorischen 
Maßnahmen angegeben werden. Zweck 
der Verarbeitung ist der Vereinszweck 
der Verbesserung der Debattenkultur 
und die Rechtsgrundlage ist dann Art. 6 
Abs. 1 f) DSGVO"*, also die Wahrung der 
berechtigten Interessen des Verantwort- 
lichen. Dies ist einer Einwilligung prak- 
tisch vorzuziehen, da dadurch zum ei- 
nen organisatorischer Aufwand entfällt 
und zum anderen keine Möglichkeit des 
Widerrufs besteht, sondern nur die aus 
der DSGVO folgenden Betroffenenrech- 
te. Die Kategorien der Betroffenen sind 
Mitglieder des Vereins und Gäste. Eine 
Übermittlung an Empfänger oder ins 
Ausland findet nicht statt.'® Die Unterla- 


gen sind zu vernichten, wenn der Zweck 
erfüllt ist, also die Redner ihr Feedback 
erhalten haben. Als organisatorische 
Maßnahme reicht eine regelmäßige Er- 
mahnung (Löschkonzept) an die Juroren 
die Unterlagen zu vernichten. 

Ein Juror zählt aber nicht zu den eine 
Bestellpflicht auslösenden Personen 
nach 8 38 BDSG, da seine Verarbeitung 
nicht automatisiert, sondern rein hän- 
disch mit Stift und Papier erfolgt. Aus 
anderem Grund zum selben Ergebnis 
kommt das Bayerische Landesamt für 
Datenschutzaufsicht, das schon die 
„ständige“ Beschäftigung bei Übungs- 
leitern ablehnt."° 


Informationspflichten 


Natürlich muss eine betroffene Per- 
son über die Datenerhebung informiert 
werden. Da die Daten den Vereinen re- 
gelmäßig nur von den Betroffenen selbst 
bereitgestellt werden, richtet sich die 
Anforderungen an diese Informationen 
nach Art. 13 DSGV0." Die Informationen 
sollen gemäß Art. 12 Abs. 1 S. 2 DSGVO 
schriftlich mitgeteilt werden, können 
aber auch in jeder anderen Form, un- 
ter anderem auch elektronisch, erteilt 
werden. Notwendig sind gemäß Art. 13 
Abs. 1 DSGVO Name und Kontaktda- 
ten des Verantwortlichen, Zweck und 
Rechtsgrundlage und das Interesse des 
Verarbeiters, wenn die Verarbeitung auf 
Art. 6 Abs. 1 f DSGVO beruht. Art. 13 
Abs. 2 DSGVO ergänzt Informations- 
pflichten über die Dauer der Speiche- 
rung, das Bestehen eines Auskunfts- 
rechts, im Falle einer Einwilligung das 
Widerrufsrecht, das Beschwerderecht 
bei Aufsichtsbehörden, die Notwendig- 
keit der Bereitstellung der Daten und die 
Folgen einer Nichtbereitstellung und ge- 
gebenenfalls das Bestehen von automa- 
tisierten Entscheidungsprozessen. 

Die Einordnung des von Art. 13 Abs. 2 
DSGVO (und Art. 14 Abs. 2DSGVO) istnoch 
nicht juristisch entschieden.'* Während 
der Wortlaut „um eine faire und trans- 
parente Verarbeitung zu gewährleisten” 
eine Bedingung in dem jeweiligen zwei- 
ten Absatz zu enthalten scheint, geht die 
Art.-29-Gruppe von einer Gleichwertig- 
keit der Absätze aus.'’ Nach der Vorlage 
der Landesbeauftragten für den Daten- 
schutz Niedersachsen zur Videoüber- 
wachung ist eine verkürzte Information 
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über ausgewählte Teile von Absatz 1 und 
Absatz 2 ausreichend, wenn eine umfas- 
sende Erläuterung leicht erlangt werden 
kann.? Entsprechend wird teilweise ein 
kurzer Hinweis, gefolgt von einem Link, 
vorgeschlagen.?! Solange dies noch nicht 
entschieden ist, ist dem vorsichtigen 
Verantwortlichen zu raten, immer alle 
Informationspflichten aus Absatz 1 und 2 
zu befolgen. 

Dabei muss aber keine Angst aufkom- 
men, dass immer ein Papierberg mitge- 
führt werden muss. Für die Verarbei- 
tung von personenbezogenen Daten von 
Gästen im Rahmen der Debatte könnte, 
sofern dies nicht auf einem Einsteiger- 
abend ausführlich erklärt oder auf der 
Website erläutert worden ist, die münd- 
liche Information lauten: „Ich als Juror 
des Debattierclub Münster (Verantwort- 
licher) werde heute Abend eure Reden 
mitschreiben um euch später Feedback 
geben zu können (Zweck). Dies machen 
wir, da wir ein Interesse im Sinne des 
Art. 6 Abs. 1fDSGVO (Rechtsgrundlage) 
daran haben eure Debattierfähigkeiten 
zu verbessern (Interesse des Verarbei- 
ters ist der Vereinszweck). Wenn ihr die 
Mitschrift nicht wünscht, kann ich die 
Debatte auch nicht für die anderen ju- 
rieren und kann euch deswegen leider 
nicht mitmachen lassen. (Folgen einer 
Nichtbereitstellung”?). Ihr könnt ger- 
ne zu mir oder zum Vorstand kommen 
(Kontaktdaten), wenn ihr konkrete 
Fragen zur Verarbeitung habt (Hinweis 
auf das Recht auf Auskunft”). Wenn ihr 
mehr Feedback haben wollt, dann mel- 
det euch bitte, bevor ich die Notizen 
heute Abend wegwerfe (Speicherdau- 
er). Ihr könnt euch auch an die Lan- 
desdatenschutzbeauftragte des Landes 
NRW wenden, wenn ihr euch beschwe- 
ren wollt.” 

Diese Informationspflicht mag unver- 
hältnismäßig klingen, ist aber vom Ge- 
setz ohne Ausnahmetatbestand vorge- 
sehen. Art. 13 Abs. 4 DSGVO erlässt die 
Informationspflichten nur, wenn dem 
Betroffenen die Informationen schon 
bekannt sind, da er z. B. schon letzte 
Woche informiert wurde. Nur Art. 14 
Abs. 5 lit. b DSGVO erlässt Informations- 
pflichten aufgrund von übermäßigem 
Aufwand. Der dahinterstehende Ge- 
danke ist, dass niemand durch die Mit- 
schriften abgeschreckt wird, da er nicht 
sicher ist, wie diese verwendet werden. 
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Natürlich ist es jedem Verantwortlichen 
überlassen, ob er hier dem Gesetz folgen 
möchte oder sich dem Risiko aussetzt 
den Rechtsverstoß im Falle einer (eher 
unwahrscheinlichen) Beschwerde erst 
gegenüber einer Datenschutzaufsichts- 
behörde und danach möglicherweise 
vor Gericht mit der Unverhältnismäßig- 
keit zu begründen. 


Löschfrist 


Warum werden die Notizen am Abend 
entsorgt? Das Recht Daten zu speichern 
endet immer dann, wenn die Rechts- 
grundlage wegfällt. Bei Art. 6 Abs. 1 f) 
DSGVO ist dies das Ende eines berechtig- 
ten Interesses. Über den Debattenabend 
hinaus helfen Juriernotizen nicht mehr 
die Streitkultur zu verbessern. 


Mitgliederverwaltung 


Die Vereins- und Mitgliederverwal- 
tung wird von vier Vorstandsmitglie- 
dern vorgenommen, die alle mit per- 
sonenbezogenen Daten durch E-Mail- 
Listen für regelmäßige Informationen 
oder durch Mitgliederkarteien zu tun 
haben. Jede dieser Tätigkeiten ist als 
ein Verarbeitungsvorgang ins Verzeich- 
nis von Verarbeitungen aufzunehmen. 
Wünschenswert ist, wenn ein Verein sei- 
nen Vorstand so geregelt hat, dass jedes 
Vorstandsmitglied nur auf die für die 
zugeordneten Tätigkeiten notwendigen 
Daten zugreifen kann, da diese organi- 
satorische Maßnahme die Gefahr einer 
Datenpanne reduziert und zugleich dem 
Gebot der Datensparsamkeit folgt. Zum 
Beispiel hatin den meisten Vereinen nur 
der Kassenwart Zugriff auf das Vereins- 
konto und die damit verbundenen Kon- 
todaten der Mitglieder. 

Neben den wöchentlichen Debatten 
finden regelmäßig Trainings statt, die 
von einer Reihe erfahreneren Mitglieder 
abwechselnd und freiwillig ohne Gegen- 
leistung gehalten werden. Eine E-Mail- 
Liste der Anwesenden zur Versendung 
der Vortragsinhalte würde bei der Ver- 
wendung eine automatisierte Verarbei- 
tung darstellen. Die Trainer sind aber 
nicht dauerhaft, sondern nur für diesen 
Abend mit der Versendung von E-Mails 
an die Teilnehmerliste betraut und des- 
wegen nicht im Sinne von $ 38 BDSG 
mitzuzählen.?* 


Ein nicht dem Vorstand angehörender 
Trainingsleiter, der aus dem Pool der 
möglichen Trainer einzelne auswählt 
und die Termine in seinem Handykalen- 
der zur Koordinierung speichert, ist zu 
den mit der Verarbeitung Beschäftigten 
zu zählen und der Vorgang ist natürlich 
ins Verzeichnis von Verarbeitungen auf- 
zunehmen. 


Informationspflichten 


Ganz ähnlich zu der oben vorge- 
schlagenen Formulierung lautet die 
einem neuen Mitglied schriftlich 
übergebene Information, die alle Ver- 
arbeitungen im Rahmen der Mitglie- 
derverwaltung umfassen soll: „Wir, 
der Debattierclub Münster e.V., benö- 
tigen deinen Namen und deine Adres- 
se, um mit dir Kontakt zu halten, dich 
zu unserer Mitgliederversammlung 
einzuladen und dir Trainingsmateria- 
lien zukommen zu lassen, solange du 
Mitglied bist. Wir werden, wenn du an 
Debatten teilnimmst, deine Redein- 
halte von Juroren notieren lassen, 
damit sie dir Feedback gegen können. 
Die Datenverarbeitung erfolgt gemäß 
Art. 6 Abs.1f) DSGVO, um dich am Ver- 
einsgeschehen teilhaben zu lassen.” 

Bei Mitgliedsbeiträgen wäre noch 
Folgendes anzufügen: „Damit du dei- 
ner Verpflichtung zur Zahlung eines 
Mitgliedsbeitrag nachkommen kannst, 
werden wir darüber Buch führen, ob du 
ihn schon gezahlt hast und dich gege- 
benenfalls kontaktieren. Du kannst 
uns aber auch das Mandat erteilen den 
Betrag von deinem Konto einzuziehen. 
Dann werden wir zusätzlich deine Kon- 
todaten speichern und sie an unsere 
Bank zum Zweck der Einziehung wei- 
tergeben. Diese Verarbeitung erfolgt ge- 
mäß Art. 6 Abs. 1b) DSGVO. Wir werden 
deine Daten löschen, sobald du aus dem 
Verein austrittst und deine Daten nicht 
mehr aufgrund von gesetzlichen Pflich- 
ten benötigt werden.” 

Die Löschpflicht tritt hier mit der Be- 
endigung der Mitgliedschaft bei Austritt 
ein. Wer nicht mehr Mitglied ist, braucht 
keine E-Mails vom Vereinsvorstand und 
dessen Kontodaten werden für Abbu- 
chungen nicht mehr benötigt.” Wer 
weiterhin informiert werden will, z. B. 
als Alumnus, muss in die Datenverarbei- 
tung einwilligen. 
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Verwaltungssoftware 


Sofern Teile der Vereinsverwaltung 
über eine Software ablaufen, ist dies 
unproblematisch, bis über diese Soft- 
ware ein weiteres Unternehmen Zugriff 
auf personenbezogene Daten bekommt. 
Dies ist beispielsweise bei „Software as 
a Service”-Angeboten oder bei der Ver- 
wendung von Cloudspeichern der Fall. 
Da die Übermittlung an ein unbetei- 
ligtes Unternehmen selten nach Art. 6 
DSGVO rechtfertigbar ist, muss dieser 
Dienstleister durch einen Auftragsver- 
arbeitungsvertrag gemäß Art. 28 DSGVO 
zum Verantwortlichen hinzugezogen 
werden. Für diesen Fall gibt es ein Mus- 
ter aus Baden-Württemberg.?® Ansons- 
ten sollten kommerzielle Anbieter auch 
eine eigene Vorlage haben, die sie ihren 
Kunden anbieten können. 


Kommunikation 


Eine der wichtigsten Aufgaben eines 
Vereins ist die Kommunikation mit den 
Mitgliedern und der Öffentlichkeit, da 
nur so neue Mitglieder gewonnen wer- 
den können. Dies erfolgt heutzutage 
aber nicht mehr nur durch Ansagen 
am Vereinsabend oder Telefonketten, 
sondern zumeist wird eine volle Breit- 
seite digitaler Dienste verwendet. Die 
Mitgliederkommunikation erfolgt beim 
Debattierclub Münster über eine E-Mail- 
Liste, geschieht aber parallel auch per 
Facebook. Zudem werden Nichtmitglie- 
der durch eine Website und eine Face- 
book-Seite über Neuigkeiten informiert. 


E-Mail-Liste 


Die Aufnahme in den E-Mail-Verteiler 
erfolgt entweder durch Mitgliedschaft 
(s.o., Mitgliederverwaltung) oder auf 
Grundlage einer Anfrage durch eine Per- 
son, die (noch) nicht Vereinsmitglied 
ist. Im letzteren Fall ist die darauffol- 
gende Verarbeitung in Form des Auf-die- 
Verteilerliste-schreibens auf der Basis 
der Einwilligung gemäß Art. 6 Abs. 1 a) 
DSGVO gerechtfertigt. 

Um der Nachweispflicht aus Art. 7 
Abs. 1 DSGVO nachzukommen, muss die 
Einwilligung schriftlich erfolgen. Aus- 
nahmsweise ist auch der Zeugenbeweis 
zulässig. Dieser könnte im Streit Aus- 
sage gegen Aussage obsiegen, wenn es 
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nur darauf ankommt, ob jemand seine 
E-Mail-Adresse freiwillig herausgegeben 
hat, um Informationen zu erhalten. 

Eine nicht mit anderen Erklärungen 
verbundene Einwilligung muss nicht die 
Anforderungen an eine verständliche, 
leicht zugängliche Form nach Art. 7 
Abs. 2 DSGVO erfüllen. Diesist aber auch 
denklogisch, da sie zumeist ein ein- 
facher Zettel ist, auf dem sich jemand 
eintragen kann, der E-Mails bekommen 
möchte, dessen Bedeutung offensicht- 
lich sein sollte. Dabei sind natürlich die 
Informationspflichten nach Art. 13 DS- 
GVO zu beachten. 


Website 


Die datenschutzrechtlich einfachsten 
Websites sind solche ohne Tracker, Add- 
Ins oder Social-Media-Widgets. Und die 
meisten Vereine benötigen diese auch 
nicht, um überihre Tätigkeit zu informie- 
ren. Jedes Tool sollte einen Zweck haben 
und dieser Zweck deckt sich in diesen 
Fällen oft mit der Beschreibung der Ver- 
arbeitung für das Verarbeitungsverzeich- 
nis. Natürlich muss dann auch über diese 
Verarbeitung informiert werden. Dafür 
sollte ein Menüpunkt „Datenschutz“ 
von jedem Teil der Website aus erreich- 
bar sein, der zur einer Informationsseite 
führt.’ Die Website des Debattierclubs ist 
bei einem bekannten Bloganbieter ge- 
hostet und verwendet Google Analytics. 
Zum Glück hat dieser Bloganbieter gera- 
de DSGVO-konforme Einstellungen ein- 
gerichtet, so dass zumindest die Betrof- 
fenenrechte leichter zu erfüllen sind.?® 
Die leichte Umsetzbarkeit dieser Rechte 
wird für viele an rechtliche Laien gerich- 
teten Angebote in Zukunft immer öfter 
als Service neben dem Hauptprodukt an- 
geboten werden, da es den Bedienkom- 
fort erhöht, auf dessen Basis solche An- 
gebote konkurrieren. Es bleibt die Pflicht 
zur rechtskonformen Anwendung. Diese 
sollte aber nicht zu schwer sein, da nach 
Erfahrung des Autors Vereine auch ohne 
rechtliche Pflicht gerne die Wünsche von 
einzelnen Mitgliedern oder vereinsfrem- 
den Personen beachten. 

Es sollte festgestellt werden, ob ein 
Analysetool wie z. B. Google Analytics 
tatsächlich sinnvoll verwendet wird. 
Ist dies nicht der Fall, sollte es entfernt 
werden. Ansonsten ist die Abwägung 
nach Art. 6 Abs.1 f) DSGVO zu treffen, 


ob das Interesse des Vereins an der sta- 
tistischen Auswertung das Interesse der 
Betroffenen überwiegt. 

Wenn es wirklich ein Facebook-Like- 
Button sein soll, dann in der Variante, 
die nicht sofort, sondern erst durch be- 
wusste Aktivierung Daten überträgt.?° 

Die Datenschutzerklärung für die 
Website ist bei juristisch unterbesetzten 
Vereinen am besten aus dem ausführli- 
chem Muster von Prof. Hoeren der Uni- 
versität Münster zusammenzustellen, 
das die häufigsten Websitekonfigurati- 
onen abdeckt.” 


Soziale Medien 


Für eine moderne Vereinsarbeit wer- 
den aber auch weitere internetbasierte 
Werkzeuge genutzt. Die Verwendung 
ist für die Erfüllung der Vereinszwecke 
nicht zwingend notwendig und deswe- 
gen nicht mit Art. 6 Abs. 1 f) DSGVO be- 
gründbar. Notwendig für diese zusätzli- 
che Verarbeitung ist eine Einwilligung, 
die sich am Muster der Orientierungshil- 
fe der Baden-Württemberger °' orientie- 
ren könnte. 


Facebook* 


Da die Verantwortlichkeiten bei der 
Nutzung von Facebook schwer zu über- 
blicken sind” und dies zu verstehen die 
notwendigen Kompetenzen eines Ver- 
einsvorstandes überschreitet, ist dem 
Laien zu raten, sich erst einmal auf die 
Aussage des Datengiganten zu verlassen, 
dass es selbst überwiegend Verantwort- 
licher für die Datenverarbeitung ist und 
nur bei kostenpflichtigen Werbemaß- 
nahmen eine Auftragsverarbeitung vor- 
liegt.”® Letztere liegen bei einem Verein 
üblicherweise nicht vor. Es ist nur noch 
zu prüfen, ob Facebook alleine oder ge- 
meinsam Verantwortlicher für die Verar- 
beitungsvorgänge auf der ihrer Seite ist. 
Damit sind „Likes“ für eine Vereinsseite 
auf Facebook wohl abgedeckt, da ein 
Verein hier weder über Zweck noch Art 
der Verarbeitung Kontrolle hat und kein 
Verantwortlicher ist. Gemeinsame Verar- 
beitung von mehreren Verantwortlichen 
nach Art. 26 DSGVO liegt vor, wenn der 
Verein auf Facebook personenbezogene 
Daten teilt, daer dann entscheidet, dass 
diese Daten via Facebook veröffentlicht 
werden sollen. Es ist ratsam dafür eine 
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Einwilligung einzuholen und im Rahmen 
der Informationspflichten auf die Nut- 
zung von Facebook und deren Verhal- 
tensweisen ausdrücklich hinzuweisen. 
Sollte es darüber hinaus zu einem Da- 
tenschutzvorfall kommen istim Rahmen 
einer gesamtschuldnerischen Haftung* 
wohl die Verantwortung weit überwie- 
gend bei Facebook und seinem überle- 
genen Verständnis der Datenstrukturen 
zu suchen. 


Whatsapp 


Die Verwendung der üblichen Funktio- 
nen von Whatsapp ist für juristische Per- 
sonen nach den AGB von Whatsapp nicht 
gestattet. Es müsste ein kostenpflichti- 
ger Unternehmensaccount erstellt wer- 
den. Somit sollte ein Verein es sich gut 
überlegen, ob er Whatsapp tatsächlich 
nutzen möchte. Unabhängig vom Verein 
können natürlich einzelne Vereinsmit- 
glieder sich in einer Whatsapp-Gruppe 
zusammenschließen und über den Ver- 
ein und Vereinsaktivitäten schreiben. 


Veröffentlichungen von Fotos 


Ein besonders dramatisierter® Fall ist 
die Frage nach Fotografien. Diese wer- 
den typischerweise zu verschiedensten 
Anlässen im Verein gemacht. Die foto- 
grafische Dokumentation ist natürlich 
ein Interesse der Verantwortlichen im 
Sinne des Art. 6 f) DSGVO. Nach Ansicht 
des Bundesinnenministeriums stimmt 
das Interesse mit der Informations- und 
Meinungsfreiheit überein.” Die Veröf- 
fentlichung von Fotografien wurde zu- 
vor über das Kunsturhebergesetz (KUG) 
geregelt. Obwohl das Gesetz von 1907 
ist, giltes weiterhin. Durch Art. 85 Abs. 1 
DSGVO wurde eine Öffnungsklausel für 
Meinungsäußerung und Informations- 
freiheit geschaffen, die durch das KUG 
ergänzt wird. Somit ändert sich durch 
die DSGVO nichts Wesentliches. Der De- 
battierclub Münster fragt aber aus Höf- 
lichkeit schon seit Jahren, ob jemand 
nicht abgebildet werden will und weist 
Fotografen an es zu vermeiden diese 
Personen in Einzel- oder Gruppenbil- 
dern abzulichten. 

Vereinsmitglieder lassen sich leicht 
über die Fotografien auf Vereinsveran- 
staltungen gemäß Art. 13, 14 DSGVO 
informieren. Gegenüber unbekannten 
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Gästen sind die Informationspflichten 
laut eines internen Vermerks der Ham- 
burger Behörde wegen Art. 11 DSGVO 
nicht zu erfüllen, da für die Dokumenta- 
tion derVeranstaltung dieldentifikation 
der Betroffenen nicht notwendig istoder 
zumindest gemäß Art. 14 Abs. 5 lit. b 
Var. 1 und 2 DSGVO das Informieren zu 
aufwändig wäre.’ 


Turnierausrichtung 


Vereine führen nicht nur regelmäßi- 
ge Veranstaltungen für ihre Mitglieder 
durch, sondern auch Events für Gäste. 
Dafür müssen sich Gäste anmelden, die 
dann mit Unterkunft, Essen und einem 
Turnier versorgt werden. 


Anmeldung 


Bei der Turnierausrichtung müssen 
Daten aufgenommen werden, um den 
Ablauf der Veranstaltung zu ermögli- 
chen. Die Verarbeitungsvorgänge müs- 
sen dann natürlich in das Verzeichnis 
von Verarbeitungen aufgenommen 
werden und die Informationspflichten 
aus Art. 13 oder Art. 14 DSGVO sind zu 
beachten. Da oftmals auch Nahrungsun- 
verträglichkeiten der Angemeldeten bei 
der Bewirtung relevant sind, kommt es 
zur Verarbeitung von Gesundheitsdaten 
im Sinne des Art. 4 Nr. 15 DSGVO und 
deswegen gilt dafür Art. 9 DSGVO, der 
aber in Abs. 2 lit a DSGVO auch eine Ein- 
willigung als Rechtsgrundlage vorsieht. 
Diese kann so ausgestaltet werden, dass 
über die Verarbeitung informiert wird. 
„Wenn du möchtest, dass wir auf etwa- 
ige Besonderheiten bei deiner Ernäh- 
rung achten sollen, so gibt sie bitte hier 
an.” Daneben sind bei der Anmeldung 
die üblichen Informationen nach Art. 
13 DSGVO bereitzustellen. Um Kompli- 
kationen zu vermeiden, sollte die An- 
meldung mit personenbezogenen Da- 
ten immer durch die Betroffenen selbst 
stattfinden, während ihr Verein nur die 
nicht personenbezogenen Rahmenver- 
einbarungen trifft. 

Sollte ein Verein seine Mitglieder 
gesammelt anmelden, liegt hier eine 
rechtfertigungsbedürftige Verarbeitung 
in Form einer Übermittlung von Daten 
an Dritte vor. Dies muss im Verzeichnis 
von Verarbeitungen und den Informa- 
tionspflichten bei der internen Anmel- 


dung (Zeitpunkt der Erhebung) beach- 
tet werden. Rechtsgrundlage könnte 
Art. 6 Abs. 1 b) DSGVO sein, wenn der 
Verein es als kostenlose Dienstleistung 
seinerseits ansieht die Reise zu organi- 
sieren, denn auch ein mündlicher Ver- 
trag ist eine gültige Rechtsgrundlage. 

Das Empfangen ist eine eigenstän- 
dige Verarbeitung des Ausrichters und 
muss deswegen wie eine normale Erhe- 
bung behandelt werden, nur dass die 
Informationspflichten sich nach Art. 14 
DSGVO richten, da die Daten nicht mehr 
vom Betroffenen selbst erhoben wur- 
den. 


Ergebnisse 


Ergebnisse von Turnieren dürfen ver- 
öffentlich werden, wenn zuvor über 
diese Veröffentlichung gemäß den 
Pflichten aus Art. 13 DSGVO informiert 
wurde. Grundsätzlich hat die Öffent- 
lichkeit ein Interesse an den Ergebnis- 
sen von Wettkämpfen aller Art. Dies 
kann ein berechtigtes Interesse an der 
Veröffentlichung gemäß Art. 6 Abs. 1f) 
DSGVO darstellen, insbesondere wenn 
eine Anonymisierung angeboten wurde 
und somit möglichen Bedenken entge- 
gengekommen ist. Zudem steht einem 
Betroffenem das Recht auf Widerspruch 
aus Art. 21 DSGVO zu, so dass Einzelfälle 
zusätzlich zwischen Informationser- 
hebung und Veröffentlichung nachbe- 
wertet werden können. Die Dauer einer 
Veröffentlichung sollte aber zeitlich be- 
grenzt werden. Es besteht weniger Inte- 
resse an der langfristigen Nachvollzieh- 
barkeit, wer wann Vorletzter geworden 
ist, als bei den FinalistInnnen. 


Zusammenfassung 


Die Änderungen der DSGVO greifen 
nicht tief in die Abläufe von Vereinen 
ein, da die allermeisten Tätigkeiten 
zulässig sind. Sie verlangen nur erheb- 
lich ausführlichere Dokumentation der 
Vereinsvorgänge in Form eines Verfah- 
rensverzeichnisses und von Informati- 
onspflichten. Vereine sollten diese Her- 
ausforderung nicht als eine Belastung, 
sondern als Anlass zur kritischen Kont- 
rolle von eingefahrenen Strukturen se- 
hen. Ein Verein mit Übersicht über seine 
Datenverläufe hat ein tieferes Selbstver- 
ständnis. 
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Robert Zieske 


Der Betriebsrat als datenschutzrechtlicher 
„Verantwortlicher“ im Sinne der DSGVO 


Bereits unter dem bisherigen Rege- 
lungsregime des BDSG a.F. war strittig, 
ob selbstständige Organisationsein- 
heiten innerhalb eines Unternehmens 
datenschutzrechtlich als „verantwort- 
liche Stelle” zu qualifizieren sind. Kon- 
kret stellt sich daher bei Unternehmen 
mit einem Betriebsrat die Frage, ob 
dieser selbst verantwortliche Stelle 
im datenschutzrechtlichen Sinne sein 
kann und daran anschließend, ob der 
betriebliche Datenschutzbeauftragte 
seine Kontrollaufgaben auch gegenüber 
dem Betriebsrat wahrnehmen kann. Im 
Vorfeld des Geltungsbeginns der DSGVO 
entflammte diese Diskussion mit neuer 
Intensität auf.! Daher ist zu klären, in- 
wieweit diese Fragestellungen nunmehr 
im Kontext der neuen Regelungen des 
Datenschutzes rechtlich anders zu be- 
werten sind. 


1. Der Betriebsrat als „verantwort- 
liche Stelle” im BDSG a.F. 


Anknüpfungspunkt der datenschutz- 
rechtlichen Verantwortlichkeit ist der 
Begriff der „verantwortlichen Stelle” 
nach 8 3 Abs. 7 BDSG a.F. „Verantwort- 
liche Stelle“ in diesem Sinne ist „[...] 
jede Person oder Stelle, die personen- 
bezogene Daten für sich selbst erhebt, 
verarbeitet oder nutzt[...]”. Verantwort- 
liche Stelle ist damit jedenfalls das Un- 
ternehmen selbst. Strittig war und ist 
weiterhin die Frage, ob der Betriebsrat 
als unabhängiges Organ und selbststän- 
dige Einheit innerhalb eines Unterneh- 
mens unter diese Definition subsumiert 
werden kann. Nach wohl herrschender 
Meinung? und nach ständiger Recht- 
sprechung? wurde er bisher nicht als 
eigenständige verantwortliche Stelle in 
diesem Sinne angesehen. Der Betriebs- 
rat ist damit auch nicht Dritter im Sinne 
des 8 3 Abs. 4 Nr. 3 BDSG a.F., sondern 
Teil der verantwortlichen Stelle selbst. 
Die datenschutzrechtliche Verantwor- 
tung trägt damit das Unternehmen. 
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Dieses Ergebnis steht auch im Einklang 
mit der Datenschutz-Richtlinie 95/46/ 
EG. Die Artikel-29-Gruppe hat sich im 
WP 169° dahingehend positioniert, dass 
sich für Bestimmung der verantwortli- 
chen Stelle soweit wie möglich an der 
im Öffentlichen und im privaten Sektor 
üblichen Rechtspraxis (z. B. Zivil -, Ver- 
waltungs- und Strafrecht) zu orientie- 
ren sei.’ 


2. Der Betriebsrat als „Verantwort- 
licher” im Sinne der DSGVO 


Aus der „verantwortlichen Stelle” 
wird mit der seit 25. Mai 2018 geltenden 
DSGVO der „Verantwortliche“. Mit dieser 
Änderung wird allerdings nicht nur eine 
terminologische Anpassung vorgenom- 
men, sondern auch die Definition des 
Verantwortlichen erweitert. Nach Art. 4 
Nr. 7 DSGVO ist „Verantwortlicher“ im 
Sinne der Verordnung „die natürliche 
oder juristische Person, Behörde, Ein- 
richtung oder andere Stelle, die allein 
oder gemeinsam mit anderen über die 
Zwecke und Mittel der Verarbeitung von 
personenbezogenen Daten entschei- 
det”. Fraglich ist, ob der Betriebsrat 
unter die neue Definition subsumiert 
werden kann. 


a) Der Betriebsrat als 
„Verantwortlicher” 


Zentrales Kriterium zur Bestimmung 
des Verantwortlichen nach Art. 4 Nr. 7 
DSGVO ist die Entscheidungshoheit 
über die Zwecke und die Mittel der Ver- 
arbeitung personenbezogener Daten.‘ 
Eine Ausnahme für den Fall, dass eine 
selbstständige Einheit als Teil eines 
Unternehmens agiert, existiert dabei 
nicht.’ Konkretisiert wird die Definiti- 
on allerdings durch Art. 29 DSGVO, der 
darauf abstellt, ob eine weisungsge- 
bundene Verarbeitung der personen- 
bezogenen Daten erfolgt oder nicht. 
Im letztgenannten Fall entscheidet die 


Organisationseinheit selbstständig über 
den Zweck und die Mittel der Datenver- 
arbeitung und wird dann im Sinne des 
Art. 4 Nr. 7 DSGVO letztlich selbst ver- 
antwortliche Stelle - verbunden mit al- 
len Rechten und Pflichten.® Übertragen 
auf den Betriebsrat bedeutet dies, dass 
dieser nur dann nicht selbst verantwort- 
liche Stelle sein kann, wenn er sich bei 
der Verarbeitung der personenbezoge- 
nen Daten in seiner Zuständigkeit an 
die Weisungen des Unternehmens hält. 
Die 88 78, 80 Abs. 2 S. 2 BetrVG stehen 
einer solchen Weisungsgebundenheit 
allerdings entgegen. Daher wird nach 
Caumanns die Voraussetzung als Ver- 
antwortlicher qua Definition gerade 
auch durch einzelne Organe oder Stel- 
len, einschließlich des Betriebsrats, 
erfüllt.’ Eine „Gesellschaftsrechtsakzes- 
sorietät”'° besteht mithin gerade nicht. 


b) Der Betriebsrat als Teil des 
Verantwortlichen 


Allerdings ist zu berücksichtigen, 
dass zur Bestimmung des Verantwort- 
lichen gem. Art. 4 Nr. 7 DSGVO die Ent- 
scheidung über Zwecke und Mittel der 
Verarbeitung nur ein und nicht alleini- 
ges Merkmal ist. Darüber hinaus ist es 
auch erforderlich, richtiger Adressat der 
Verantwortlichkeitszuweisung im Sinne 
von Art. 4 Nr. 7 DSGVO zu sein.'! Per De- 
finition kann nur eine „juristische Per- 
son, Behörde, Einrichtung oder andere 
Stelle” Adressat der Verantwortlich- 
keitszuweisung sein. Hierbei handelt 
es sich um eine alternative Aufzählung. 
Dem Wortlaut entsprechend ist damit 
ausgeschlossen, dass Verantwortlicher 
eine juristische Person sein kann und 
zugleich auch deren Einheiten und Or- 
gane."? 

Unstreitig ist darüber hinaus, dass der 
Betriebsrat nicht weisungsgebunden 
handelt, da dies seiner Funktion und 
Stellung zuwiderliefe. Ein Rückgriff auf 
Art. 29 DSGVO führt aber gerade nicht 
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automatisch dazu, dass der Betriebsrat 
als Verantwortlicher zu qualifizieren ist. 
In Fällen, in denen eine dem Verant- 
wortlichen unterstellte Person perso- 
nenbezogene Daten nicht nach dessen 
Weisung verarbeitet, weil sie nach Uni- 
onsrecht oder nationalen Rechtsvor- 
schriften zur Verarbeitung verpflichtet 
ist, wird sie gerade nicht selbst zum 
Verantwortlichen (Art. 29 2. HS). Wenn 
sie zum Verantwortlichen würde, stün- 
de dies der gesetzgeberischen Intenti- 
on entgegen, dass alleine die Erfüllung 
einer gesetzlichen Verpflichtung durch 
eine dem Verantwortlichen unterstellte 
Person kein Aufschwingen zum eigen- 
ständigen Verantwortlichen bedeuten 
muss. Sonst könnte bspw. auch die 
Personalabteilung eines Unternehmens 
als Verantwortlicher in diesem Sinne zu 
qualifizieren sein. Damit gäbe es inner- 
halb großer Unternehmen eine Vielzahl 
an Verantwortlichen. 

Die rechtliche Verpflichtung zur Da- 
tenverarbeitung, der der Betriebsrat 
unterliegt, ergibt sich aus den Aufga- 
ben des Betriebsrates nach dem BetrVG. 
Neben den allgemeinen Aufgaben des 
Betriebsrates nach 8 80 BetrVG sieht 
8 99 Abs. 1 BetrVG in Unternehmen mitin 
der Regel mehr als zwanzig wahlberech- 
tigten Arbeitnehmern bspw. vor, dass 
der Arbeitgeber den Betriebsrat vor jeder 
Einstellung, Eingruppierung, Umgrup- 
pierung und Versetzung zu unterrichten, 
ihm die erforderlichen Bewerbungsun- 
terlagen vorzulegen und Auskunft über 
die Person der Beteiligten zu geben 
hat. Er hat dem Betriebsrat außerdem 
unter Vorlage der erforderlichen Unter- 
lagen Auskunft über die Auswirkungen 
der geplanten Maßnahme zu geben und 
die Zustimmung des Betriebsrats zu der 
geplanten Maßnahme einzuholen. Bei 
Einstellungen und Versetzungen hat der 
Arbeitgeber insbesondere den in Aus- 
sicht genommenen Arbeitsplatz und die 
vorgesehene Eingruppierung mitzutei- 
len. Bezüglich der Aufgabenzuweisung 
im BetrVG ist gem. 8 1 Abs. 2 S. 1 BDSG 
n.F. dann im Einzelfall zu prüfen, ob sich 
die Rechtsgrundlage für die Datenverar- 
beitung des Betriebsrates unmittelbar 
aus der entsprechenden Vorschrift des 
BetrVG direkt ergibt oder jedenfalls zur 
Erfüllung der im BetrVG genannten Auf- 
gaben im Zusammenspiel mit $ 26 Abs. 1 
BDSG n.F. bewertet werden muss." 
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Eine Ausnahme gilt dann, wenn der 
Betriebsrat personenbezogene Daten 
verarbeitet, die nicht zur Aufgabener- 
füllung nach dem BetrVG dienen. Wie 
auch bei Arbeitnehmern, die sich zu 
Verantwortlichen aufschwingen kön- 
nen, wenn sie sich nicht an die Wei- 
sungen des Arbeitgebers halten und 
Daten zu eigenen Zwecken verarbei- 
ten'*, wäre der Betriebsrat gem. Art. 29 
DSGVO dann selbst Verantwortlicher, 
da er sich auf eine Rechtsvorschrift im 
Sinne des Art. 29 DSGVO nicht mehr be- 
rufen kann. 


c) Zwischenergebnis 


Im Ergebnis lässt sich daher zunächst 
festhalten, dass vieles dafür spricht, die 
bisherige Einordnung des Betriebsrates 
als Teil des Verantwortlichen beizube- 
halten. 

Dieses Ergebnis entspricht auch der 
datenschutzrechtlichen Verantwor- 
tungszuweisung in der Praxis. Denn 
auch die Schadensersatz- und Bußgeld- 
forderungen bei möglichen Verstößen 
können sich im Ergebnis nur an rechts- 
fähige Verantwortliche richten und ge- 
rade nicht an Teile der verantwortlichen 
Stelle selbst.” Käme man abweichend 
zum gegenteiligen Ergebnis, würden sich 
zahlreiche weitere Umsetzungsfragen 
stellen. Wäre jedenfalls der Betriebsrat 
selbst Verantwortlicher im Sinne der 
DSGVO, wäre er dies grundsätzlich mit 
allen Rechten und Pflichten.’ Damit 
würden ihn bspw. alle Betroffenenrechte 
selbst treffen. Er müsste bspw. neuen Mit- 
arbeiter gegenüber eigenständig die In- 
formationspflichten gem. Art. 13 bzw. 14 
DSGVO erfüllen. Auch wäre ihm gegen- 
über ein gesondertes Auskunftsrecht 
geltend zu machen. Es träfe ihn beim 
Vorliegen der Voraussetzungen auch 
die Verpflichtung, einen eigenen Daten- 
schutzbeauftragten zu bestellen. Dies 
wurde bereits unter altem Recht zutref- 
fend als kritisch bewertet.'’ Neben dem 
Aufwand für betroffene Unternehmen ist 
hierbei auch die in der Praxis gegebene 
Möglichkeit unterschiedlicher Ergeb- 
nisse und Einschätzungen datenschutz- 
rechtlicher Sachverhalte von nicht uner- 
heblicher Bedeutung. 

Die Ergänzung von & 26 Abs. 18.1 
BDSG n.F. gegenüber des & 32 Abs. 1 
S. 1 BDSG a.F., wonach nunmehr eine 


Datenverarbeitung zur Ausübung der 
Rechte und Pflichten einer Interessen- 
vertretung ausdrücklich auch erforder- 
lich sein muss, stellt nach Auffassung 
des Gesetzgebers lediglich eine Klarstel- 
lung dar und ändert insoweit nichts an 
der vorliegenden Einschätzung." 

Die Beteiligqungsrechte der Inter- 
essenvertretungen der Beschäftigten 
gem. & 26 Abs. 6 BDSG n.F. bleiben aber 
auch weiterhin unberührt und sichern 
die Verantwortung des Betriebsrates für 
den Beschäftigtendatenschutz." 


3. Kontrollrechte des betrieblichen 
Datenschutzbeauftragten 


Besondere Beachtung gilt sodann 
der Frage, ob dem betrieblichen Daten- 
schutzbeauftragten Kontrollrechte ge- 
genüber dem Betriebsrat zustehen. 

Nach einem Urteil des BAG unterliegt 
der Betriebsrat als Teil der verantwortli- 
chen Stelle zwar den Vorgaben aus dem 
BDSG a.F.?°, soll aber zugleich vom Kont- 
rollrecht des betrieblichen Datenschutz- 
beauftragten ausgenommen sein.?' Für 
diese Auffassung gibt es keine gesetzli- 
che Verankerung. Das BAG? hat allein im 
Rahmen einer umfassenden Güterabwä- 
gung zwischen der besonderen Stellung 
des Betriebsrates und der Funktion des 
Datenschutzbeauftragten entschieden, 
dass die besondere Stellung des Be- 
triebsrates im Unternehmen mit dem 
Kontrollrecht des betrieblichen Daten- 
schutzbeauftragten unvereinbar sei. 
Das Spannungsfeld zwischen Betriebsrat 
und betrieblichem Datenschutzbeauf- 
tragten zeigt sich im Gegenzug bei der 
Auffassung, dass dem Betriebsrat kein 
Recht und keine Pflicht zur Kontrolle 
und Überwachung des Datenschutzbe- 
auftragten zukommt.? Auch fehlt ihm 
im Vorfeld bereits ein Mitbestimmungs- 
recht bei der Bestellung des betriebli- 
chen DSB.?* Allenfalls steht ihm ein Mit- 
wirkungs- und Mitbestimmungsrecht im 
Umfeld der Bestellung von internen DSB 
in seiner Stellung als Arbeitnehmer zu, 
so es sich beispielsweise um eine Verset- 
zung handelt.” 

Fraglich ist, ob die im Urteil vorgenom- 
mene Güterabwägung noch auf die euro- 
päischen Vorgaben aus der Datenschutz- 
grundverordnung übertragbar ist. 

Zunächst beschränkt sich in Anse- 
hung des Wortlautes der DSGVO der 


DANA ® Datenschutz Nachrichten 2/2018 


Funktionsumfang des Datenschutzbe- 
auftragten nicht auf bestimmte Einhei- 
ten eines Unternehmens. Im Umkehr- 
schluss bedeutet dies: Die Aufgabe gem. 
Art. 39 Abs. 1 lit. b) DSGVO gilt für die 
gesamte verantwortliche Einheit ohne 
Einschränkung. Es gibt keine kontroll- 
freie Datenverarbeitung - die Datenver- 
arbeitung durch Berufsgeheimnisträger 
unterliegt ebenso der vollen Kontrolle 
durch den Datenschutzbeauftragten, 
wie auch die des Betriebsrates.?° Inso- 
weit hat der Datenschutzbeauftragte 
volle Zutritts- und Zugriffsberechtigun- 
gen.?” 

Die DSGVO gilt als Verordnung in den 
Mitgliedstaaten als unmittelbar anzu- 
wendendes Recht, d. h. es bedarf zur 
Einschränkung des Aufgabenumfanges 
des betrieblichen Datenschutzbeauf- 
tragten einer entsprechenden Öffnungs- 
klausel. 

Die Aufgaben des Datenschutzbeauf- 
tragten sind in Art. 39 Abs. 1 DSGVO 
grds. nicht abschließend geregelt, so- 
dass wohl auch die Mitgliedstaaten im 
Rahmen des Art. 38 Abs. 6 DSGVO dem 
Datenschutzbeauftragten weitere Auf- 
gaben zuweisen können.?® Wichtig ist 
dabei aber, dass es sich um weitere Auf- 
gaben handeln muss. Für eine Beschrän- 
kung des Aufgabenumfanges fehlt es 
hingegen an einer Öffnungsklausel. 
Überdies ist der Wortlaut gem. Art. 39 
Abs. 1 DSGVO insoweit eindeutig, da er 
festlegt, dass dem Datenschutzbeauf- 
tragten „zumindest folgende” in Abs. 1 
genannten Aufgaben obliegen. 

Eine mögliche Öffnungsklausel, über 
die durch das BetrVG eine Beschrän- 
kung des Aufgabenumfanges des Daten- 
schutzbeauftragten zumindest denkbar 
wäre, ist Art. 88 DSGVO. Art. 88 DSGVO 
stellt die Öffnungsklausel für die Ver- 
arbeitung im Beschäftigungskontext 
dar. Danach können die Mitgliedstaaten 
durch Rechtsvorschriften oder durch 
Kollektivvereinbarungen spezifischere 
Vorschriften zur Gewährleistung des 
Schutzes der Rechte und Freiheiten 
hinsichtlich der Verarbeitung personen- 
bezogener Beschäftigtendaten im Be- 
schäftigungskontext vorsehen. In den 
Anwendungsbereich der Öffnungsklau- 
sel fällt insoweit gerade auch das Be- 
triebsverfassungsgesetz. Den Mitglied- 
staaten steht die Befugnis zu nationa- 
len Regelungen aber nicht schrankenlos 
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zur Verfügung, sondern stets nur soweit 
dies im Rahmen der Vorgaben der Ver- 
ordnung erfolgt.?’ Jedenfalls wäre die 
durch das BAG auf Grundlage des BetrVG 
getroffene Abwägung eine Beschrän- 
kung der in der DSGVO normierten Auf- 
gaben des Datenschutzbeauftragten, 
was jedoch gerade nicht zulässig ist. 
Art. 88 DSGVO ist mithin keine geeig- 
nete Öffnungsklausel, um hierüber Ein- 
schränkungen im Aufgabenumfang des 
Datenschutzbeauftragten zu regeln.” 
Auch über Art. 90 DSGVO kann die Tä- 
tigkeit des Datenschutzbeauftragten 
insoweit nicht beschränkt werden.°! 


Dem Datenschutzbeauftragten steht 
im Ergebnis ein Kontrollrecht des 
Betriebsrates zu. 


Dabei bleibt zu erwähnen, dass die 
Ausübung dieses Kontrollrechts nur der 
Wahrnehmung seiner gesetzlichen Auf- 
gaben zur Kontrolle der datenschutz- 
rechtlichen Vorgaben dient. Dabei un- 
terliegt er keinen Weisungen. Gleich- 
wohl kann es dabei dazu kommen, dass 
der Datenschutzbeauftragte Kenntnis 
erlangt über Verarbeitungen personen- 
bezogener Daten, die der besonderen 
Geheimhaltung nach 8 79 Abs. 1 BetrVG 
unterliegen. & 6 Abs. 5 und Abs. 6 
BDSG n.F. bieten hier insoweit nur ei- 
nen unzureichenden Schutz.” Art. 38 
Abs. 5 DSGVO normiert allerdings, dass 
der Datenschutzbeauftragte nach dem 
Recht der Union oder der Mitgliedstaa- 
ten bei der Erfüllung seiner Aufgaben 
an die Wahrung der Geheimhaltung 
oder der Vertraulichkeit gebunden 
ist. Entgegen dem Wortlaut handelt es 
sich dabei aber nicht um einen reinen 
Verweis in entsprechende Rechtsvor- 
schriften. Vielmehr wird dabei eine 
umfassende Verschwiegenheitspflicht 
des Datenschutzbeauftragten auch ge- 
genüber der ihn benennenden Stelle 
statuiert, die sich auf alle Informatio- 
nen erstreckt, die zwar einer Kontrol- 
le des Datenschutzbeauftragten, aber 
keinem Kenntnisrecht der verantwort- 
lichen Stelle unterliegen, wie etwa die 
Daten des Betriebsrats.’ Anders als 
mit solch weitreichender Verschwie- 
genheitspflicht wäre die Tätigkeit des 
Datenschutzbeauftragten, welcher im 
Rahmen seiner Tätigkeit umfassende 
und auch streng vertrauliche Infor- 


mationen erhält, die er zur Ausübung 
seiner Aufgaben auch benötigt, nicht 
durchführbar. 

Umgekehrt hat der Betriebsrat aller- 
dings auch weiterhin kein Kontrollrecht 
des Datenschutzbeauftragten. Der Be- 
triebsrat unterliegt im Wesentlichen 
dem nationalen Rechtsgefüge, an dem 
sich im Verhältnis zum Datenschutz- 
beauftragten keine Änderung ergibt.“ 
Im Verhältnis Betriebsrat zum Daten- 
schutzbeauftragten bleibt es bei den 
bisherigen Grundsätzen. 


4. Resultat 


Im Ergebnis lässt sich daher in Über- 
einstimmung mit der bisherigen Einord- 
nung festhalten, dass der Betriebsrat 
auch mit Geltungsbeginn der DSGVO in 
Übereinstimmung mit der bisher herr- 
schenden Meinung Teil der verantwort- 
lichen Stelle bzw. des Verantwortlichen 
ist, nicht aber selbst Verantwortlicher 
im Sinne der DSGVO, mithin auch kein 
Dritter i.S.v. Art. 4 Nr. 10 DSGVO. 

Gleichwohl spricht vieles dafür, dass 
die vom BAG getroffene Abwägung zwi- 
schen Stellung und Funktion des Be- 
triebsrates einerseits und der Stellung 
des betrieblichen Datenschutzbeauf- 
tragten andererseits im Rahmen eines 
gesamteuropäischen Datenschutzkon- 
textes nicht übertragbar ist. Die unmit- 
telbar geltende DSGVO lässt nationale 
Einschränkungen des Aufgabenbereichs 
des Datenschutzbeauftragten nicht zu, 
sodass sich die in der DSGVO normierte 
Kontrollaufgabe des Datenschutzbe- 
auftragten auch auf den Betriebsrat er- 
streckt. 

Damit hat der Datenschutzbeauftrage 
nicht nur das Recht, sondern zugleich 
die Pflicht, den Betriebsrat in seine 
Kontrollen einzubeziehen. 

Im Verhältnis zwischen Betriebsratund 
Datenschutzbeauftragtem ist allerdings 
das sich aus 8 2 Abs. 1 BetrVG ergebende 
Zusammenarbeitsgebot”” nunmehr von 
besonderer Bedeutung. Die Zusammen- 
arbeit zwischen Betriebsrat und Daten- 
schutzbeauftragem bekommt unter der 
Geltung der DSGVO eine neue Gewich- 
tung, denn die ausgeformten und er- 
weiterten Betroffenenrechte der DSGVO 
sowie die umfassende Etablierung eines 
Datenschutzmanagements geht nur mit 
in kooperativer Gemeinschaft. 
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Rückblick eines nicht völlig Unbeteiligten 


Als ich nach vielen Jahren erneut 
in den DVD-Vorstand gewählt wurde, 
kam dort die Idee auf, ich könne ei- 
nen Rückblick zum DANA-Jubiläum 
verfassen. Eine Nabelschau sollte dies 
nicht werden, aber für mich, derich die 
Datenschutz-Nachrichten über nahezu 
die gesamten 40 Jahre hinweg bezo- 
gen und teilweise aktiv begleitet habe, 
war das Jubiläum Anlass, weit über 
einhundert Ausgaben der Zeitschrift 
zu durchforsten und stundenlang in 
alten Artikeln zu schmökern. Dabei 
erwies sich die DANA als ein Medium, 
das die Entwicklung des Datenschut- 
zes in Deutschland nachzeichnet und 
zugleich verdeutlicht, wie sich die 
Informationsvermittlung und Interes- 
senvertretung unserer Bürgerrechts- 
Organisation im Laufe der Jahrzehnte 
verändert hat. 
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Im Jahr nach der Gründung der DVD 
erschien die erste DANA-Ausgabe 
1-1978. Prof. Peter Gola, DVD-Grün- 
dungsmitglied, positionierte die DANA 
als wichtige deutsche Fachzeitschrift 
für Datenschutz. Er ließ sie als Zeitung 
(ISSN 0173-7767) registrieren und 
räumte von Beginn an die Möglichkeit 
eines Abonnements ein. So entwickel- 
te sich neben den DVD-Mitgliedern ein 
fester Kundenstamm aus Wissenschaft 
und Praxis. Zunächst einspaltig mit 
Schreibmaschine getippt, später dann 
zweispaltig etwas leichter lesbar, war 
dieDANA ein nüchternes Fach-Magazin, 
die Seiten frei von jeglichem Bildmate- 
rial. Erst nach 10 Jahren wurden die 
zweispaltigen Schreibmaschinenseiten 
dann per Computer erstellt (wenn auch 
anschließend noch mit Schere und Kle- 
ber sowie wenig originellen Karikaturen 


aus einem copyright-freien Schnibbel- 
buch fertig gestaltet). 

Mit den auf Gola folgenden DVD- 
Vorstandsmitgliedern, die die gestal- 
terische Verantwortung für die DANA 
hatten (1987-1996 der Autor dieser 
Zeilen, 1997-2009 Hajo Köppen mit 
Unterbrechung, 2005-2007 Rainer 
Scholl und seit 2010 Frans Valenta), 
nahm die Fortentwicklung der äußeren 
Erscheinung ihren Lauf. Nicht nur die 
Umschlagseiten wurden modernisiert, 
mit jedem Wechsel erhielt die DANA so- 
zusagen ein neues Gesicht. Waren bis 
1987 statt der geplanten sechs Ausga- 
ben pro Jahr auch mehrmals lediglich 
drei Doppelhefte erschienen, legte sich 
Hajo Köppen 1997 auf vier Ausgaben 
pro Jahr fest - jeweils zum Quartals- 
Ende. Bei steigender Qualität und 
wachsendem Umfang zeichnet sich die 
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” Datenschutz 
Nachrichten 


Ki Privadlıserung der 
Ditenverarbe 


Preisentwicklung der DANA durch Sta- 
bilität aus: Die erste Erhöhung erfolg- 
te nach 17 Jahren, die zweite mit der 
Euro-Umstellung auf 32 Euro und seit 
2014 beträgt der Abonnement-Preis 42 
Euro inkl. Porto. 

Unter der Redaktion von Peter Gola 
lag der Schwerpunkt der frühen DANA- 
Jahre auf der Veröffentlichung juris- 
tisch einschlägiger Fachbeiträge. Dies 
änderte sich mit dem ersten Wechsel in 
der Redaktion. Der DVD-Vorstand kom- 
mentierte in Heft 1/2-1985: 

„Umfang und Gestaltung der ‚Daten- 
schutz-Nachrichten’ haben sich ebenso 
gewandelt wie die inhaltlichen Lese-An- 
gebote. Verstärkt wurde auf eine Infor- 
mationsvermittlung über Datenschutz 
für den Datenschutzbetroffenen Wert 
gelegt, die Datenschutz verständlich 
und begreifbar machen sollte“. 

Die Informationsvermittlung wurde 
ergänzt um konkrete Anregungen in 
Form von Postkarten, Musterbriefen 
und auch Adresslisten. Ab 1993 kam zu 
allgemeinen Datenschutz-Nachrichten 
auch speziell eine Rubrik über Zei- 
tungsberichte hinzu, die Jahre später 
um Nachrichten aus dem WWW erwei- 
tert wurde. Die ersten 10 Jahre der Big 
Brother Award-Verleihungen in Bie- 
lefeld wurden intensiv dokumentiert, 
bis diese einer solchen publizistischen 
Unterstützung nicht mehr bedurften. 
Kurzum: In Schwerpunktheften wurde 
von Gesetzesentwürfen und Verord- 
nungen über Stellungnahmen bis zu 
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entsprechenden Presseerklärungen 
breit gefächert so ziemlich alles rund 
um den Datenschutz veröffentlicht, 
was sich heute mehr oder weniger 
schnell im WWW finden lässt. Auch 
PDF-Versionen der DANA sind mittler- 
weile unter www.datenschutzverein.de 
online abrufbar. 

Viele Autorinnen und Autoren aus 
befreundeten Organisationen, Wissen- 
schaft und Praxis lieferten Beiträge zu 
Schwerpunktheften, doch eine große 
Zahl von Artikeln und alle kleinen Nach- 
richten stammem aus der Feder von 
DVD-Vorstandsmitgliedern, die früher 
wie heute reihum die inhaltliche Verant- 
wortung für einzelne Hefte übernehmen. 
Von der Rolle der DANA als „Vereinsor- 
gan” zeugen regelmäßige Aufrufe zur 
Mitarbeit, mehrere Postkarten-Aktionen 
und auch Beiträge in Schwerpunkthef- 
ten. Das wird beispielhaft deutlich am 
folgenden Zitat aus dem Heft 5/6-1990, 
Schwerpunkt „DVD-intern”: 

„Die Arbeit der Deutschen Vereinigung 
für Datenschutz war im Jahre 1990 und 
ist in den ersten Wochen dieses Jahres 
(1991) von einem politischen Umfeld 
geprägt, in dem Datenschutz an und 
für sich zu einem Randthema werden 
muss(te). ... (erwähnt werden Golfkon- 
flikt und Zusammenschluss der beiden 
deutschen Staaten) ... Datensammler 
tragen zum Abbau der demokratischen 
Freiheitsrechte in unserer Gesellschaft 
bei. Der Widerstand soll eingeschränkt 
werden. Die Masse wird verplant. Die 
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Aufgabe der DVD besteht nun darin, auf 
die Gefahren des Einsatzes von Informa- 
tionstechnologien aufmerksam zu ma- 
chen, sie abzuwehren.” 

Ebenso deutlich positioniert das Edi- 
torial des Heftes 1/2-1991 den Verein 
und auch seine Zeitschrift. Das damals 
neue BDSG („Gesetz zur Fortentwick- 
lung der Datenverarbeitung und des 
Datenschutzes”) wurde abgedruckt und 
eingeschätzt: 

„... Strotzt von Gedanken und Voka- 
beln der 1960er und 1970er Jahre. ... 
Alles läuft darauf hinaus, daß die Betrof- 
fenen sich engagieren müssen, um ihre 
Rechte durchzusetzen. Hilfestellung will 
dabei die Deutsche Vereinigung für Da- 
tenschutz bieten. Lautete ihre Hauptpa- 
role in den Anfangsjahren ‚Wache Bürger 
- Sichere Daten’, so hat sich diese Sicht 
mittlerweile grundlegend geändert. We- 
der gibt sich der Verein der Illusion hin, 
Wachheit allein könne etwas bewirken, 
noch steht die Datensicherheit im Mit- 
telpunkt. Heute, nach 15 Jahren harter 
Arbeit, wird das Motto am besten mit 
‚Gemeinsam für die Verwirklichung von 
Freiheitsrechten’ umschrieben.” 

In diesem Sinne wird wohl - ohne 
dass sie heute noch abgedruckt werden 
müsste - für das kommende Jahrzehnt 
die Verordnung (EU) 2016/679 (Daten- 
schutz-Grundverordnung) als Basis der 
Arbeit der DVD und der Inhalte der DANA 
dienen. 

Das Motto bleibt unverändert: Die 
Verwirklichung von Freiheitsrechten. 
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Klaus-Jürgen Roth 


Big BrotherAwards 2018 [Bilder: digitalcourage] 


Mit BigBrotherAwards (BBA) zeichnet 
der Verein Digitalcourage e. V. gemein- 
sam mit weiteren Organisationen (In- 
ternationale Liga für Menschenrechte 
e. V. - ILFM, Deutsche Vereinigung für 
Datenschutz e. V. - DVD, Netzwerk Da- 
tenschutzexpertise, Chaos Computer 
Club e. V- CCC) jedes Jahr Datensünder 
aus. Die Preisträger haben nach Ansicht 
der JurorInnen besonders massiv gegen 
Datenschutz-Grundsätze verstoßen. Die 
BigBrotherAwards werden seit dem Jahr 
2000 verliehen. 

Im Jahr 2018 gingen die in sechs Ka- 
tegorien verliehenen Preise an folgende 
Preisträger: 


Soma Analytics für die Gesundheits-App 
Kelaa und das damit verbundene Kelaa 
Dashboard (Kategorie Gesundheit), 


das Konzept der Smart City (Katego- 
rie PR und Marketing), 


- Microsoft Deutschland (Kategorie 
Technik) für das Betriebssystem Win- 
dows 10, 


- Cevisio Software und Systeme für 
die in Flüchtlingsunterkünften einge- 
setzte Software Cevisio Quartiersma- 
nagement (Kategorie Verwaltung), 


Amazon, für dessen „smarten” 
Sprachassistenten Alexa (Kategorie 
Verbraucherschutz), 


die Fraktionen von CDU und Grünen 
im hessischen Landtag für das ge- 
plante neue Verfassungsschutzgesetz 
(Kategorie Politik). 


Firmen verkaufen das, was sie an Daten 
über Menschen eingesammelt haben, als 
aggregierte korrekte Darstellung der Re- 
alität, was tatsächlich aber eine Big-Da- 
ta-Illusion ist. Dies erklärte Sarah Spie- 
kermann zum Auftakt der Verleihung 
der BigBrotherAwards. Mit großem Elan 
wird der eingesammelte Secondhand- 
Eindruck zum digitalen Abdruck erklärt, 
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gar zum Öl des 21. Jahrhunderts verklärt, 
weil die künstliche Intelligenz mit diesen 
Daten gefüttert wird und Algorithmen 
die Secondhand-Sammlung aufbereiten. 
Für Spiekermann ist es höchste Zeit, dass 
diese Blase platzt. 

In den Laudationes wurden die ge- 
nauen Gründe der Auswahl der diesjäh- 
rigen Awards dargelegt. 


Soma Analytics 


In Aldous Huxleys Zukunftsroman 
„Schöne neue Welt” ist „Soma“ eine stim- 
mungsaufhellende Droge, die vor dem 
Sex eingenommen oder auch als Dampf 
verteilt wird, um negative Stimmungen 
und kritisches Denken in der Bevölke- 
rung auszuschalten. Insofern gibt das 
deutsche Healthtech-Startup Soma Ana- 
lytics aus der Nähe von München schon 
im Namen zu erkennen, dass es sich mit 
Stimmungsaufhellern beschäftigt und 
dafür auch EU-Forschungsmittel erhalten 
hat. Herausgekommen ist eine Smart- 
phone-App namens Keela Mental Resi- 
lence, die Stressdaten der Beschäftigten 
an ein Keela Dashboard überträgt, das 
fortlaufend über den „Gemütszustand” 
eines Teams, das „Wohlbefinden“ einer 
Abteilung oder gleich über das „Stressle- 
vel” einer ganzen Firma informiert. 


Peter Wedde 


Für den Juror, den Arbeitsrechtler Pe- 
ter Wedde von der Frankfurter Akademie 
der Arbeit begeht Soma Analytics mit der 
Übergabe von Gesundheitsdaten in die 


Hände von Arbeitgebern einen Tabu- 
bruch, auch wenn die Daten, wie Soma 
Analytics betont, nurin aggregierter und 
anonymisierter Form vorliegen. Beson- 
ders bedenklich sei die Empfehlung der 
Stresserkenner, das Smartphone abends 
mit ins Bett zu nehmen, damit die Sen- 
soren Daten über das Schlaf- und Bei- 
schlafverhalten sammeln können. In den 
rechtlichen Hinweisen der Firma fehle 
eine zumindest in Deutschland not- 
wendige Zustimmung der Beschäftigten 
nach dem noch geltenden Bundesdaten- 
schutzgesetz wie nach der kommenden 
DSGVO. Die App Keela, mit der zahlreiche 
Daten zum Wohlbefinden oder zum Un- 
wohlsein eingesammelt werden, reihe 
sich ein in die Klasse der Softwareange- 
bote für Predictive Analytics, bei der Vor- 
hersagen getroffen werden, die so kon- 
kret sein können, dass der Einzelne trotz 
Anonymisierung identifiziert werden 
kann. Grundsätzlich sei nichts dagegen 
einzuwenden, wenn jemand eine App 
einsetzt, um Stress zu vermeiden oder zu 
verringern. Nur sollte die App nicht dem 
Arbeitgeber gehören. 

Die Firma Soma Analytics beschwerte 
sich als Preisträgerin in der Person des 
Geschäftsführers Johann Huber über 
den Prozess, der zur Verleihung des Prei- 
ses führte: „Wir wurden vor der Nomi- 
nierung nicht kontaktiert, um die Rich- 
tigkeit der Gründe der Nominierung zu 
prüfen, auch wurden uns andere Grün- 
de genannt als den Medienpartnern”. 
Er wirft den Machern des BigBrother- 
Awards vor, unter anderem auf Basis 
von längst veralteten Informationen 
entschieden zu haben. Die Begründung 
für die Vergabe des Award, nämlich dass 
die App „anhand verschiedener Parame- 
ter (z. B. Aufgeregtheit der Stimme beim 
Telefonieren) den Gesundheits- und Vi- 
talzustand des Nutzers” überwache, wa- 
ren auch nach der Preisvergabe auf der 
Webseite von Soma Analytics abrufbar. 
Huber erwiderte: „Ein Blick in unsere 
öffentlich zugängliche Datenschutzer- 
klärung hätte gezeigt, dass die Kelaa 
Smartphone-App keinen Zugang auf 
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die Stimme beim Telefonieren zulässt.” 
In den englischsprachigen aktuellen 
Nutzungsbedingungen ist von dieser 
Anwendung keine Rede. Huber kündig- 
te auf journalistische Anfragen hin an, 
veraltete Information von 2013, wo- 
nach auch Telefonie-Daten ausgewertet 
würden, zu aktualisieren. Man habe in 
der Vergangenheit tatsächlich mit ei- 
nem Tracking-Feature für Sprachanru- 
fe experimentiert. Dies sei aber wieder 
verworfen worden, „eben genau wegen 
Privacy-Bedenken“. Auch die noch on- 
line zu findende Idee einer Stimmana- 
lyse per Sprachaufzeichnung sei wieder 
verworfen worden und nie über „interne 
Tests“ hinausgegangen. 


Smart Cities 


Richtige Smart Cities, in denen die 
Straßenlampen die BürgerInnen be- 
leuchten, ihnen bei Bedarf Strom spen- 
den und diese fürsorglich überwachen, 
sind noch ein Stück weit Zukunftsmu- 
sik. Doch das Konzept ist da und ver- 
dientenach Ansicht der BBA-Jury einen 
Preis, vergeben in der Kategorie PR und 
Marketing. In Ländern wie China, Türkei 
und Aserbaidschan feilt man energisch 
an der Überwachungskomponente, 
während bei uns die Bewirtschaftung 
des Parkraums im Vordergrund steht. 
Doch die intelligente Stadt hat Zukunft, 
weil der Trend zur Mega-Agglomeration 
anhält. Da können smarte Sachen hel- 
fen, wenn sie die BürgerInnen nicht 
nur um die Staus herumlotsen, sondern 
auch um Schießereien hier und da. Wo 
die Smart City aufhört, fängt der Polizei- 
staat an, etwa wenn die Gesichtserken- 
nung in smarten Lampen die BürgerIn- 
nen unter Generalverdacht stellt. John 
Sudworth, ein Reporter der BBC, ließ 


Rena Tangens bei der Laudatio zu Smart Cities 
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sich in einer chinesischen Stadt suchen 
und war nach wenigen Minuten fürsorg- 
lich umlagert. 

Gerade weil die neue Bundesregierung 
in ihrem Koalitionsvertrag davon spricht, 
das Konzept der „intelligenten Video- 
überwachung” auszubauen, hat Smart 
City nach Ansicht der JurorInnen einen 
Preis verdient, ohne dass eine einzel- 
ne Firma oder eine Stadt ausgezeichnet 
wird. Die Laudatorin Rena Tangens: „Eine 
Smart City ist die perfekte Verbindung 
destotalitären Überwachungsstaates aus 
George Orwells 1984 und den normier- 
ten, nur scheinbar freien Konsumenten 
in Aldous Huxleys Schöne Neue Welt“. 


Microsoft 


iin 


Frank Rosengart bei der Laudatio zu Microsoft 


Eine der ersten Firmen, die nach Bie- 
lefeld kamen, war Microsoft im Jahre 
2002, als Microsoft in der etwas selt- 
samen Kategorie „Lebenswerk“ einen 
BigBrotherAward für ihr Digital Rights 
Management (DRM) namens Palladium 
bekam. Damals schickte Microsoft den 
Datenschutzbeauftragten Sascha Han- 
ke, der das DRM-System verteidigte. 16 
Jahre später erhielt das Unternehmen 
nun den Preis in der Kategorie Technik 
für sein Betriebssystem Windows 10. 
Dort gibt es eine ganze Reihe von Funk- 
tionen, die Daten an Microsoft übermit- 
teln. Dementsprechend muss an einer 
ganzen Reihe von Schräubchen gedreht 
werden, wenn man die Datensammelei 
beherrschen will. Microsoft bestätigt 
dies in seinem Privacy Statement, wen- 
det sich aber zugleich gegen die Forde- 
rung von Datenschutzbeauftragten, die 
Datenübertragung bei Windows 10 ab- 
zuschalten. Gegen die Datenübermitt- 
lung gewendet, fordert die BBA-Jury 
von Microsoft mindestens eine Option 


„übermittele gar nichts“ neben den 
Auswahlpunkten einer „einfachen“ und 
einer „vollständigen“ Datenübermitt- 
lung. Spätestens mit dem Inkrafttre- 
ten der Datenschutz-Grundverordnung 
(DSGVO) müsse Microsoft dafür Sorge 
tragen, dass „keine Übermittlung“ eine 
Option ist, die standardmäßig akti- 
viert sein sollte. Ansonsten würden Mi- 
crosoft-Produkte zu einem nicht mehr 
tragbaren Problem, so Frank Rosengart 
vom Chaos Computer Club in seiner Lau- 
datio. Microsoft betonte in Reaktion auf 
die Preisverleihung, Datenschutz sei ein 
wichtiges Ziel des Unternehmens; man 
gebe für Verbesserungen in diesem Be- 
reich pro Jahr rund eine Milliarde Dollar 
aus. 


Fraktionen von CDU und Bündnis 90/ 
Die Grünen im hessischen Landtag 


Die hessischen PolitikerInnen bekom- 
men den Preis, weil der schwarz-grüne 
Gesetzentwurf zum Verfassungsschutz- 
gesetz, so Rolf Gössner von der ILFM, 
„eine gefährliche Anhäufung schwer- 
wiegender Überwachungsbefugnisse” 
für den Staat vorsehe. Die konkreten 
Mittel seien ein „schwerer Angriff auf 
Demokratie, Rechtsstaat und Bürger- 
rechte“. Eigentlich sind die Grünen 
mit Experten wie Jan-Philipp Albrecht 
oder Konstantin von Notz eine Partei, 
die Bürgerrechte und den Datenschutz 
ernst nimmt. In Hessen, wo Joschka 
Fischer in Turnschuhen das erste Mit- 
regierungsprojekt einleitete, richtet 
sich zumindest die Landtagsfraktion 
anderweitig aus. Sie erhielten für das 
„Gesetz zur Neuausrichtung des Ver- 
fassungsschutzes” gemeinsam mit der 
CDU-Faktion den BigBrotherAward in 
der Kategorie Politik. Beide Parteien 
wollen, dass nicht nur die Polizei in 
der Strafverfolgung, sondern auch der 
Verfassungsschutz als Nachrichten- 
dienst Hessentrojaner einsetzen darf, 
um verdächtige Gefährder mit Hilfe der 
Quellen-TKÜ und der heimlichen On- 
line-Durchsuchung zu überwachen. Zu- 
sätzlich sollen erkannte Gefährder zum 
Tragen einer elektronischen Fußfessel 
verurteilt werden können, um künftige 
Straftaten zu entdecken. Der Verfas- 
sungsschutz soll künftig auch vorbe- 
strafte V-Leute einsetzen und V-Leute 
im beruflichen Umfeld von Ärzten, An- 
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wälten und Journalisten platzieren dür- 
fen. Eine weitere Spezialität schwarz- 
grüner Überwachung ist die Erlaubnis, 
dass der Verfassungsschutz Daten von 
Kindern unter 14 Jahren speichern darf. 
Dazu passt dann der Einsatz des Nach- 
richtendienstes als Auskunftei, wenn 
die Überprüfung der Verfassungstreue 
bei Einstellung im öffentlichen Dienst 
ansteht. 


Rolf Gössner 


Als Laudator des Politikpreises kam 
stilgerecht der Rechtsanwalt Rolf Göss- 
ner zum Einsatz. Gössner wurde seit den 
70er Jahren bis in die jüngste Zeit vom 
Verfassungsschutz überwacht. Während 
dieser Zeit wurde er u. a. als Referent 
zu einer Tagung des hessischen Ver- 
fassungsschutzes eingeladen, zum di- 
rekten Erfahrungsaustausch zwischen 
Schnüfflern und Ausgeschnüffelten. 
Für Gössner ist es ein Unding, wenn die 
Grünen im hessischen Landtag behaup- 
ten, diese „Neuausrichtung des Ver- 
fassungsschutzes” würde eine „grüne 
Handschrift” tragen. Was nach den Pan- 
nen und Skandalen bei der Aufdeckung 
der NSU-Mordserie zu einer Neuausrich- 
tung führen sollte, sei zu einer umfas- 
senden Blankovollmacht für den Aus- 
bau des Geheimdienstes mutiert: „Doch 
stattdessen erhalten ausgerechnet die- 
se demokratisch kaum kontrollierbaren 
Geheimbehörden des Bundes und der 
Länder - geschichtsvergessen muss man 
sagen - wieder unverdienten Auftrieb, 
werden abermals aufgerüstet und mas- 
senüberwachungstauglicher gemacht, 
anstatt die Bevölkerung endlich vor ih- 
ren klandestinen Machenschaften und 
Skandalen wirksam zu schützen,” 

Jürgen Frömmrich, innenpolitischer 
Sprecher der Grünen-Landtagsfraktion 
in Hessen, zeigte sich überrascht vom 
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Preis. Man habe von der Verleihung kon- 
kret an die Fraktion erst durch Anfragen 
von Journalisten erfahren. Frömmrich 
wurde als Befürworter des Verfassungs- 
schutzgesetzes von seiner Partei bei 
der Aufstellung der Landesliste für die 
nächste Landtagswahl auf einem kurz 
nach der BBA-Verleihung durchgeführ- 
ten Parteitag abgestraft und landete auf 
dem Landeslistenplatz zwölf - nicht wie 
angestrebt auf Platz acht. Auf Platz acht 
wurde der Software-Experte Torsten Le- 
veringhaus gewählt, der sich „gegen 
die digitale Aufrüstung“ ausgespro- 
chen hatte. Der Publikumspreis der Big- 
BrotherAwards 2018 ging mit großem 
Abstand an die Fraktionen von CDU und 
Bündnis 90/Die Grünen im Hessischen 
Landtag. 


Cevisio 


Schutzlose Flüchtlinge und Asylbe- 
werber werden mit Hilfe einer Software 
für das „Quartiersmanagement” von 
Cevisio-Software verwaltet. Sie werden 
dort wie Sachen behandelt und mit Hilfe 
von Chipkarten-Systemen dauerüber- 
wacht, bis hin zur Essensausgabe oder 
der Teilnahme an angebotenen Aktivi- 
täten. Begründet wird dies damit, dass 
man bei Ausbruch eines Feuers wissen 
müsse, wer sich aktuell in der Unter- 
kunft aufhält. Träfe die Begründung 
zu, müsste jede Schule solche Syste- 
me besitzen, so die BBA-Jury. Deshalb 
bekommt die Software, die Cevisio aus 
Torgau/Sachsen mit Unterstützung des 
dortigen Roten Kreuzes entwickelt hat, 
einen Preisin der Kategorie Verwaltung, 
stellvertretend für eine ganze Reihe von 
Systemen, die Daten über Flüchtlingein 
ausufernder Weise speichern. Die Chip- 
karte kontrolliert Bewegungen auf dem 
Gelände, trackt die Essenausgabe und 
stellt medizinische Checks wie durchge- 
führte Röntgen-, Blut- und Stuhlunter- 
suchungen bis hin zu Verwandtschafts- 
verhältnissen, Religions- und Volkszu- 
gehörigkeiten zur Verfügung. All dies 
wird von der Software abgefragt und mit 
anderen Dateien nach dem „Datenaus- 
tauschverbesserungsgesetz” verknüpft, 
insbesondere mit dem 2016 eingeführ- 
ten Kerndatensystem für Asylsuchende. 

Besonders problematisch ist für Lau- 
dator Thilo Weichert von der DVD und 
dem Netzwerk Datenschutzexpertise, 


dass Cevisio als Softwarehersteller in 
seinen Unterlagen keinerlei Angaben 
zum Schutz der Daten von 380.000 
Flüchtlingen mache, die aktuell von 
der Software verwaltet werden. Die Fir- 
ma wirbt mit dem Slogan „Software, die 
glücklich macht”. (siehe die gesamte 
Laudatio S. 97) 


Amazon 


Padeluun 


Bei Amazons Alexa monierte der Lau- 
dator Padeluun, dass die Sprachaufnah- 
men in der Cloud verarbeitet werden 
und auch Monate später noch abrufbar 
sind. Das „geschwätzige Lauschangriff- 
döschen” überwache alle Haushaltsmit- 
glieder. Was heute von ahnungslosen 
VerbraucherInnen praktiziert wird, die 
sich einen mithörenden Assistenten in 
die Wohnung stellen, bringt Padeluun 
von Digitalcourage auf die Palme. Für 
ihn ist Amazons Alexa - stellvertretend 
für Siri, Google Assistant, Microsofts 
Cortana, Samsung Bixby und Nuance 
ausgezeichnet - „eine Abhörschnitt- 
stelle, die sich zum Beispiel als Wecker 
tarnt, aber ein allwissender Butler in 
fremden Diensten ist, der sich von mir 
höchstpersönlich ins Schlafzimmer 
tragen und an das weltweite Überwa- 
chungsnetz anschließen lässt.” Alexa 
steht in der Tradition von „Hello Bar- 
bie“, die im Jahr 2015 gekonnt einen 
Preis abräumte, und macht Amazon zum 
Seriensieger. Amazon Logistik und der 
Mechanical Turk von Amazon konnten 
ebenfalls 2015 punkten. 

Es ist keine Frage, dass mit Alexa, Siri, 
Cortana und Co. die Verarbeitung natür- 
licher Sprache der nächste große Sprung 
in der Entwicklung der universalen „Be- 
nutzeroberfläche“ ist. Selbst ein alter Di- 
gitalhase wie Padeluun schwärmt davon, 
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wenn er beim Nudelkochen mit „Alexa, 
Timer 8 Minuten” den Kurzzeitwecker 
einstellen kann. Doch der Verbund mit 
der dahinter liegenden Kontrollstruk- 
tur sei problematisch, unter vielen 
Aspekten. So berichtete unlängst die 
Süddeutsche Zeitung, dass die Polizei 
im US-Bundesstaat Arkansas in einem 
Mordfall Alexa in den Zeugenstand be- 
rufen wollte, weil der Mord vom System 
möglicherweise aufgezeichnet wurde. 
Der Widerstand gegen Alexa ist für die 
MacherInnen hinter dem BigBrotherA- 
ward gleichbedeutend mit dem Wider- 
stand gegen den großen Lauschangriff 
und alle Überwachungsmaßnahmen, 
die mit der Verabschiedung der Not- 
standsgesetze vor 50 Jahren begann, 
als die G10-Gesetze zur Telefonüberwa- 
chung eingeführt wurden. 

Amazon verteidigte seinen Lautspre- 
cher: „Alle Daten sind während der Über- 
tragung und in der Cloud verschlüsselt. 
Der Kunde behält jederzeit die volle 
Kontrolle über seine Sprachaufzeich- 
nungen. Jede einzelne Aufnahme kann 
einfach über die Alexa App oder Ama- 
zon.de gelöscht werden” (Gruber, Nega- 
tivpreis geht an Amazon und Microsoft, 
www.spiegel.de 20.04.2018; Borchers, 
Die Big Brother Awards 2018: Von Win- 
dows 10, eHealth, Hessentrojanern und 
anderen Datenkraken, www.heise.de 
20.04.2018; Faber, Was war. Was wird. 
Mit einer Nachlese zu den Big Brother 
Awards, www.heise.de 22.04.2018; um- 
fassend: bigbrotherawards.de/; Digital- 
courage Newsletter 26.04.2018). 


Thilo Weichert 


Der BigBrotherAward 2018 in der Ka- 
tegorie Verwaltung geht an die 


Cevisio Software und 
Systeme GmbH aus Torgau 


für ihre Software „Cevisio QMM” 
(Quartiersmanagement), die in Zusam- 
menarbeit mit dem Deutschen Roten 
Kreuz speziell für Flüchtlingsunterkünf- 
te entwickelt wurde. Mit dieser Software 
werden Bewegungen zum und auf dem 
Gelände, Essenausgaben, medizinische 
Checks wie durchgeführte Röntgen-, 
Blut- und Stuhluntersuchungen, Ver- 
wandtschaftsverhältnisse, Religions- 
und Volkszugehörigkeiten und vieles 
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Thilo Weichert 


mehr erfasst und gespeichert. Die Da- 
ten ermöglichen eine Totalkontrolle der 
Flüchtlinge und zeigen anschaulich, auf 
wie vielen Ebenen Privatsphäre verletzt 
werden kann. 

Die Software ist nicht nur preiswür- 
dig wegen der mit ihr möglichen Da- 
tenschutzverstöße, sondern vor allem 
wegen des Menschenbildes, das dahin- 
ter steht. Flüchtlinge sind Menschen, 
keine Sachen. Sie liegen nicht in einem 
Regal zur späteren Abholung und Ver- 
wendung, sie sind keine Gefangenen 
und bedürfen keiner verschärften Beob- 
achtung. Sie suchen Schutz bei uns und 
haben Rechte - Menschenrechte und 
Grundrechte, die für Cevisio keine Rede 
wert sind. 

Als 2015 viele Flüchtlinge nach 
Deutschland kamen, war das Chaos bei 
Behörden groß. Die Erhebung von Daten 
sowie die Organisation von Unterbrin- 
gung und Versorgung stellten die Be- 
teiligten vor große Herausforderungen. 
Der Mittelständler Cevisio erarbeitete mit 
dem Deutschen Roten Kreuz Landesver- 
band Sachsen e.V. die Lösung. Das Un- 
ternehmen wirbt für seine Software auf 
seiner Homepage damit, dass sie in über 
280 Aufnahmeeinrichtungen eingesetzt 
wird. Insgesamt würden „bereits mehr als 
380.000 Flüchtlinge verwaltet.” 

Über all diese Menschen liegen dem- 
nach in der Cevisio Quartiersmanage- 
ment-Software erfasste Daten vor. Basis 


für die Erfassung ist eine Ausweiskarte 
mit RFID-Chip oder Barcode. Mit dieser 
Karte bewegen sich die BewohnerInnen 
in ihrer Unterkunft und - so der Plan der 
Software-Macher - halten sie an ver- 
schiedenen Stellen vor ein Lesegerät: 
Am Ein- und Ausgang, bei der Essens- 
ausgabe, bei der Wäschestelle, wenn sie 
Taschengeld bekommen, beim Auslei- 
hen von Büchern oder Videofilmen, bei 
medizinischen Untersuchungen oder 
bei ehrenamtlicher Arbeit. 

Diese in den Unterkünften erfassten 
sogenannten „Aktionen“ führt die Soft- 
ware über Schnittstellen zusammen mit 
den Daten des Bundesamtes für Migra- 
tion und Flüchtlinge - dem BAMF - und 
mit den Dateien der Ausländerbehör- 
den. Erfasst werden u. a. Angaben zu be- 
stehender Schwangerschaft, zu den ver- 
wandten Personen, medizinische Daten 
mit „Erst- und Folgeuntersuchungen 
inkl. Befund”. Gewährleistet wird auch 
die Erfassung „sämtlicher Dokumente“. 
Die Software ermöglicht damit nicht nur 
die „Verwaltung“, sondern auch die (Zi- 
tat) „Abrechnung der Flüchtlinge”. Sie 
erlaubt die „Erfassung sämtlicher Daten 
zum Asylverfahren, wie EASY-Optimie- 
rung und BAMF-Daten“. 

Das ist Totalkontrolle. Tagesabläufe, 
Gewohnheiten, Kontakte, Verwandt- 
schaft, Gesundheitszustand, Asylstatus 
- alles an einem Ort. Verknüpft und aus- 
wertbar. 
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Manches ist sicher sinnvoll, z. B. Hin- 
weise auf Allergien, oder ob spezielle 
Ramadan-Verpflegung gewünscht wird. 
Die Cevisio-Software geht aber deutlich 
weiter: In der Broschüre zum Funktions- 
umfang istz.B. die Rede von der „Erfas- 
sung aller an eine Person ausgegebenen 
Mahlzeiten” sowie „Hinweis bei Mehr- 
fachausgabe einer Mahlzeit an eine Per- 
son“. Wofür braucht man das? 

Ist es nötig, jede Bewegung ins Haus 
oder aus dem Haus heraus minutiös zu 
erfassen und zu speichern? Ja, sagt die 
besagte Broschüre (Zitat): „Über die in- 
tegrierte Anwesenheitsübersicht ist im- 
mer sekundenaktuell erkennbar, welche 
Flüchtlinge und Helfer/Mitarbeiter sich 
aktuell in einer Unterkunft befinden. 
Neben einer reinen Kontrollfunktion ist 
diese Übersicht insbesondere im Katas- 
trophenfall (Brand etc.) unverzichtbar.” 

„Unverzichtbar!” Es kommt einem 
fast seltsam vor, dass hunderttausende 
von Schulen, Kaufhäusern oder Jugend- 
herbergen noch ohne eine solche se- 
kundenaktuelle Übersicht auskommen. 
Sind die alle verantwortungslos? 

Nein, das ist Leben. Inklusive einem 
gewissen Lebensrisiko. Die Daten- 
sammlung von Cevisio hingegen ist 
ein feuchter Traum für Überwachungs- 
Fanatiker. Wir sehen hier keinerlei Em- 
pathie mit Menschen, die auch wegen 
eines Lebens in Freiheit nach Deutsch- 
land geflüchtet sind. 

Vielleicht ist es also Pragmatismus 
nach dem Motto „interessiert doch kei- 
nen“, wenn das Wort „Datenschutz“ in 
der 15-seitigen Systemdarstellung nicht 
ein einziges Mal vorkommt. Technische 
Datensicherheitsvorkehrungen verber- 
gen sich hinter dem Begriff „Adminis- 
tration”. Funktionalitäten zu den Betrof- 
fenenrechten, z. B. für eine Auskunftser- 
teilung oder Transparenz für die Flücht- 
linge, konnte ich nicht finden. 

Auch in der Praxis gibt es Mängel: Die 
Datenschutzbeauftragte in Bremen äu- 
ßert in ihrem aktuellen Jahresbericht 
„erhebliche datenschutzrechtliche Be- 
denken“. Speicherfristen waren viel 
zu lang. Weshalb jede Essensausgabe 
kontrolliert werden muss, erschloss 
sich ihr nicht. Die Speicherung der Ge- 
sundheitsdaten musste auf ihre Veran- 
lassung massiv zurückgefahren werden. 
Bei Verwandtschaftsangaben wurde den 
Betroffenen keine Optionen eröffnet. 
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Viele Fragen sind bis heute offen. 

Die bremische Datenschutzkontrolle 
bezog sich nur auf wenige der Einrich- 
tungen. Es besteht keine Gewähr und 
Kontrollmöglichkeit, dass in den an- 
deren über 270 Einrichtungen rechts- 
widrige Überwachungsmöglichkeiten 
abgestellt werden. Die Rechtslage ist 
überall gleich und könnte, z. B. mit au- 
tomatischen Löschfristen, in der Soft- 
ware voreingestellt sein. Cevisio könnte 
den Betreibern Hilfen und Hinweise zur 
Wahrung des Datenschutzes geben. 

Wir fragen: Hat diese Softwaregestal- 
tung damit zutun, dass hier Flüchtlinge 
die Betroffenen sind? Sicher - Flücht- 
lingsunterkünfte sind logistisch kom- 
plexe Systeme und die Betreiber wie 
das DRK und andere können digitale 
Unterstützung gut gebrauchen. Doch 
wie sollen Flüchtlinge sich bei uns in- 
tegrieren, wenn ihnen dabei die Werte 
unserer gern beschworenen Leitkultur 
vorenthalten werden, also die Werte un- 
seres Grundgesetzes? Zu diesen Werten 
gehört Selbstbestimmung, das Recht 
auf informationelle Selbstbestimmung. 

Die Cevisio Software „Quartiersma- 
nagement” steht nur exemplarisch für 
einen bevormundenden, intransparenten 
und überwachungsgierigen Umgang mit 
Flüchtlingen generell. Da gibt es Schwei- 
gepflichtentbindungen der Bundesagen- 
tur für Arbeit, die alle und jeden von der 
Vertraulichkeit entbinden, einschließlich 
Sozialämter und Migrationsberatungs- 
stellen. In einem sog. Datenaustauschver- 
besserungsgesetz wurde 2016 festgelegt, 
dass praktisch jede Stellejede andere über 
Flüchtlinge unterrichten darf, wenn es er- 
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forderlich erscheint. Um die Herkunft von 
Flüchtlingen bestimmen zu können, ließ 
sich das BAMF den Zugriff auf die Smart- 
phones der Flüchtlinge genehmigen, auf 
denen sämtliche Kommunikationen und 
viel Privates gespeichert sind. 

Gleichzeitig berichten unabhängige 
Flüchtlingsberatungen, dass ihnen man- 
che Behörden mit dem Verweis auf den 
Datenschutz Informationen verweigern, 
die für Beratung und Hilfestellung wich- 
tig wären. Hier wird der Datenschutz als 
falscher Vorwand missbraucht, um sozi- 
ale Arbeit zu behindern. 

Beim Umgang mit den Daten von 
Flüchtlingen müssen wir besonders um- 
sichtig sein. Sowohl die Nationalsozia- 
listen als auch das DDR-Regime haben 
mit Informationen und Datenerfassung 
ihre Bevölkerung kontrolliert und malt- 
rätiert. Die Regierungen der Länder, aus 
denen Menschen zu uns flüchten, quälen 
ihre Bevölkerung nicht selten durch Kon- 
trolle, Willkür und Verwendung von dem, 
was sie über diese Menschen wissen. Die 
Gefahren, dass wir bei der Datenverwal- 
tung äa la Cevisio bestehende Traumata 
vertiefen, und auch die Gefahren, dass 
unsere Datensammlungen in falsche 
Hände geraten, etwa von Geheimdiens- 
ten des Heimatlandes, sind groß. Auch 
Software-Unternehmen haben eine Ver- 
antwortung dafür, dass solche Gefahren 
gebannt werden. Wir sollten uns bewusst 
machen: Was heute an Flüchtlingen 
praktiziert wird, wird morgen vielleicht 
schon aufuns angewendet. 

Herzlichen Glückwunsch zum Big- 
BrotherAward 2018 in der Kategorie 
Verwaltung, Cevisio. 


EuGH: Facebook-Fanpagebetreiber 
mitverantwortlich für Nutzertracking 


Der Gerichtshof der Europäischen 
Union (EuGH) hat mit Urteil vom 
05.06.2018 bestätigt, dass die Betrei- 
ber einer Facebook-Fanpage - neben 
Facebook - datenschutzrechtlich dafür 
verantwortlich sind, dass Facebook Da- 


ten der Fanpage-Besuchenden zur Er- 
stellung von Besuchsstatistiken erhebt 
(C-210/16). 

Ausgangspunkt der Entscheidung 
ist ein seit 2011 anhängiger Verwal- 
tungsrechtsstreit zwischen der von der 
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Industrie- und Handelskammer (IHK) 
Schleswig-Holstein betriebenen Wirt- 
schaftsakademie Schleswig-Holstein 
GmbH und dem heute von Marit Hansen 
geleiteten Unabhängigen Landeszen- 
trum für Datenschutz Schleswig-Hol- 
stein (ULD). Das Unternehmen vertrat 
die Auffassung, es dürfe eine Facebook- 
Fanpage betreiben, ohne sich darum 
kümmern zu müssen, ob Facebook das 
Datenschutzrecht einhält. 


Das Urteil 


Der EuGH stellte nun klar, dass die- 
se Auffassung nicht mit europäischem 
Datenschutzrecht vereinbar ist: „Der 
Umstand, dass ein Betreiber einer Fan- 
page die von Facebook eingerichtete 
Plattform nutzt, um die dazugehörigen 
Dienstleistungen in Anspruch zu neh- 
men, kann diesen nämlich nicht von der 
Beachtung seiner Verpflichtungen im 
Bereich des Schutzes personenbezoge- 
ner Daten befreien.” (Rn. 40) 

Datenschutzrechtlich verantwortlich 
ist, wer über die Zwecke und Mittel einer 
Verarbeitung personenbezogener Daten 
entscheidet. Der EuGH stellte fest, dass 
der Begriff des Verantwortlichen weit zu 
fassen ist, um einen wirksamen und um- 
fassenden Schutz der betroffenen Per- 
sonen zu gewährleisten. Der Betreiber 
einer Facebook-Fanpage ist beteiligt an 
der Entscheidung über die Zwecke und 
Mittel der Verarbeitung personenbezo- 
gener Daten der Besucherinnen und Be- 
sucher seiner Fanpage. Er gestaltet sein 
Informations- und Kommunikationsan- 
gebot selbst und trägt damit zur Verar- 
beitung der personenbezogenen Daten 
der Besucher seiner Fanpage bei. Da 
Facebook ebenfalls die Zwecke und Mit- 
tel der Verarbeitung bestimmt, haben 
Facebook und Betreiber von Facebook- 
Fanpages die datenschutzrechtliche 
Verantwortlichkeit gemeinsam wahrzu- 
nehmen. 

Der EuGH führt aus, dass ein Fanpage- 
Betreiber nicht bloßer Facebook-Nutzer 
ist, sondern als Verantwortlicher Face- 
book die Möglichkeit gibt, durch den 
Betrieb der Fanpage Cookies zu setzen, 
und mit Hilfe von durch Facebook zur 
Verfügung gestellten Filtern die Kriteri- 
en festzulegen, nach denen Statistiken 
erstellt werden. Für die Verantwortlich- 
keit ist nicht ausschlaggebend, dass ein 
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Zugang zu den betreffenden personen- 
bezogenen Daten besteht. 

Zur Art der „Verantwortlichkeit” führt 
der EuGH in Rn. 43 Folgendes aus: „Klar- 
zustellen ist, dass das Bestehen einer 
gemeinsamen Verantwortlichkeit, wie 
der Generalanwalt in den Nrn. 75 und 76 
seiner Schlussanträge ausgeführt hat, 
aber nicht zwangsläufig eine gleichwer- 
tige Verantwortlichkeit der verschiede- 
nen Akteure zur Folge hat, die von einer 
Verarbeitung personenbezogener Daten 
betroffen sind. Vielmehr können diese 
Akteure in die Verarbeitung personen- 
bezogener Daten in verschiedenen Pha- 
sen und in unterschiedlichem Ausmaß 
in der Weise einbezogen sein, dass der 
Grad der Verantwortlichkeit eines jeden 
von ihnen unter Berücksichtigung aller 
maßgeblichen Umstände des Einzelfalls 
zu beurteilen ist.” 

Am 24.10.2017 hatte der Generalan- 
walt Yves Bot in seinem Schlussantrag 
in den zitierten Passagen Folgendes 
ausgeführt: „(75) Es ist auch darauf 
hinzuweisen, dass das Bestehen einer 
gemeinsamen Verantwortlichkeit kei- 
ne gleichrangige Verantwortlichkeit 
bedeutet. Im Gegenteil können die 
verschiedenen für die Verarbeitung 
Verantwortlichen in die Verarbeitung 
personenbezogener Daten in verschie- 
denen Phasen und in unterschiedlichem 
Ausmaß einbezogen sein (vgl. in diesem 
Sinne Artikel-29-Datenschutzgruppe, 
Stellungnahme 1/2010, S. 27). (76) 
Laut der Artikel-29-Datenschutzgruppe 
„[dient d]ie Möglichkeit einer plura- 
listischen Kontrolle ... zur Abdeckung 
der zunehmenden Zahl von Fällen, in 
denen verschiedene Parteien als für die 
Verarbeitung Verantwortliche handeln. 
Die Prüfung der gemeinsamen Kontrol- 
le sollte in gleicher Weise erfolgen wie 
die Prüfung der ‚alleinigen‘ Kontrolle: 
Dabei sollte ein materieller und funkti- 
oneller Ansatz verfolgt werden, wobei 
der Schwerpunkt auf der Frage liegen 
sollte, ob mehr als eine Partei über die 
Zwecke und die wesentlichen Elemen- 
te der Mittel entscheiden. Die Beteili- 
gung der Parteien an der Bestimmung 
der Zwecke und Mittel der Verarbeitung 
kann im Rahmen einer gemeinsamen 
Kontrolle jedoch verschiedene Formen 
aufweisen und muss nicht gleichmäßig 
verteilt sein“ (Stellungnahme 1/2010, 
S. 39). Sind nämlich „mehrere Akteure 


an Entscheidungen beteiligt ..., kann 
ihre Beziehung sehr eng (z. B. vollstän- 
dig übereinstimmende Zwecke und Mit- 
tel der Verarbeitung) oder eher locker 
sein (es stimmen z. B. nur die Zwecke 
oder nur die Mittel oder nur Teile da- 
von überein). Daher sollten zahlreiche 
unterschiedliche Typologien für die 
gemeinsame Kontrolle betrachtet und 
ihre rechtlichen Folgen bewertet wer- 
den, wobei eine gewisse Flexibilität 
erforderlich ist, um der zunehmenden 
Komplexität der heutigen Gegebenhei- 
ten im Bereich der Datenverarbeitung 
Rechnung zu tragen (Stellungnahme 
1/2010, S. 23 und 24).” 

Der EuGH bestätigte in seinem Urteil 
zudem, dass das ULD entgegen den Ent- 
scheidungen der deutschen Vorinstan- 
zen aufsichtsbehördliche Maßnahmen 
gegen den in Schleswig-Holstein ansäs- 
sigen Betreiber einer Facebook-Fanpage 
richten durfte. Allein die Möglichkeit, 
aufsichtsbehördlich auf Facebook ein- 
zuwirken, schließt Maßnahmen gegen 
den mitverantwortlichen Anbieter einer 
Facebook-Fanpage nicht aus. 


Reaktionen 


Die Landesbeauftragte für Daten- 
schutz Schleswig-Holstein Marit Han- 
sen begrüßte das Urteil des EuGH: „Die 
Entscheidung hat meine Einschätzung 
bestätigt, dass es keine Verantwor- 
tungslücken im Datenschutz geben 
kann. Konkret bedeutet dies nun für alle 
Fanpage-Betreiber, dass zwischen ihnen 
und Facebook geklärt sein muss, welche 
Datenschutzpflichten sie selbst zu er- 
füllen haben und für welche Facebook 
zuständig ist. Dies gilt insbesondere 
für die Informationspflichten: Ohne 
Transparenz, wie die Daten über alle 
Nutzenden - d.h. Mitglieder und Nicht- 
Mitglieder von Facebook - verarbeitet 
werden, funktioniert dies nicht. Beiden 
Betroffenenrechten, z. B. dem Recht auf 
Auskunft oder Berichtigung, gilt: Jeder 
kann diese Rechte sowohl gegenüber 
dem Fanpage-Betreiber als auch gegen- 
über Facebook direkt geltend machen.” 

Hansen hält es für nötig, dass Fra- 
gen zur Datenschutz-Grundverordnung 
dem EuGH in Zukunft früher vorgelegt 
werden: „Für Rechtssicherheit ist eine 
schnelle gerichtliche Klärung essenti- 
ell. Gerichtliche Verfahren zu derarti- 
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gen Grundsatzfragen gehören auf die 
Überholspur. Ich bin davon überzeugt, 
dass einige Fälle von Datenmissbrauch 
- ich erinnere an Cambridge Analyti- 
ca - hätten verhindert werden können, 
wenn bereits 2011 alle deutschen oder 
gar europäischen Fanpage-Betreiber die 
Datenschutzkonformität für ihre Ange- 
bote eingefordert hätten.” 

Der Bayerische Landesbeauftrag- 
te für den Datenschutz Thomas Petri 
empfahl öffentlichen Stellen, ihre Öf- 
fentlichkeitsarbeit bei Anbietern So- 
zialer Medien kritisch zu überprüfen: 
„Der Europäische Gerichtshof hat un- 
missverständlich klargestellt, dass der 
Betreiber einer Fanpage nicht dadurch 
von der Beachtung seiner datenschutz- 
rechtlichen Pflichten freigestellt ist, 
dass er die von einem anderen Anbieter 
gestellte Plattform nutzt.“ Entweder 
müssten Soziale Medien sich an die 
in Europa geltenden Datenschutzvor- 
schriften halten oder sie könnten nicht 
mitverantwortlich genutzt werden. 
„Mögliche Vorteile bei der Öffentlich- 
keitsarbeit rechtfertigen jedenfalls 
keine Datenschutzverstöße” 

Marcus Schween, Rechtsvertreter der 
IHK Schleswig-Holstein, interpretier- 
te das EuGH-Urteil entgegengesetzt: 
„Gegen einzelne Fanpagebetreiber vor- 
zugehen ist daher unverhältnismäßig 
und rechtswidrig. Das sieht offenbar 
auch der EuGH so.” Das Gericht habe 
dazu ausdrücklich klargestellt, dass 
sich die Datenschutzaufsicht unmittel- 
bar an Facebook wenden kann. „Das ist 
sachgerecht, weil es wesentlich effek- 
tiver ist, datenschutzrechtliche Ausei- 
nandersetzungen direkt mit Facebook 
selbst zu führen. Lägen „tatsächlich 
Datenschutzverstöße vor, so kann al- 
lein Facebook diese abstellen - und das 
europaweit mit Wirkung für alle Nutzer 
und Fanpagebetreiber.” Demgegenüber 
hätten Fanpagebetreiber schlicht kei- 
ne Möglichkeit, auf die Datenverarbei- 
tung von Facebook Einfluss zunehmen. 
„Nach dieser Entscheidung rechnen wir 
damit, dass der Rechtsstreit beim Bun- 
desverwaltungsgericht in Leipzig nach 
beinahe sieben Jahren beendet werden 
wird. Auch wenn es dann lange gedau- 
ert hat, freuen wir uns, für unsere Mit- 
gliedsunternehmen in Schleswig-Hol- 
stein schlussendlich Rechtssicherheit 
erreicht zu haben.” 
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Und Facebook? Das Unternehmen 
gab zum Urteil keinen Kommentar ab. 
Facebook-Chef Mark Zuckerberg hatte 
wenige Tage vor dem Urteil in der Anhö- 
rung vor dem Europäischen Parlament 
behauptet, dass Facebook DSGVO-kon- 
form sei. 

Als Fanpagebetreiber wandte sich 
nach dem Urteil die Böll-Stiftung an Fa- 
cebook und forderte gemäß Rn. 43 des 
Urteils den Abschluss einer Vereinba- 
rung. Darauf antwortete für Facebook 
eine Anika mit folgender Mail: „Hallo 
Lukas, wir haben folgendes Messaging 
dazu. There are no immediate implica- 
tions on your ability to operate Pages 
on Facebook. You can continue to use 
Facebook services as normal. As this 
case dates back to 2011 - prior to the 
GDPR coming into effect - die ECJ has 
clarified the legal framework which was 
applicable at that time. The case was 
about delineating the responsibilities 
of parties that provide online services, 
not about the legality of Facebook ‘s 
products. Furthermore, this ruling ap- 
plies to internet services more broadly 
- not just Facebook. The case will now 
be referred back to the German court 
which will determine next steps. We 
“U work with partners and regulators 
in Europe to limit any potential impact 
on our services orthe people and busi- 
nesses that use them. And if necessary, 
we “ll work with you and other Page 
admins on howto can comply with your 
obligations. Liebe Grüße Anika.” 

Übersetzung ins Deutsche: „Das Ur- 
teil hat keine direkte Auswirkungen 
auf Deine Fähigkeit, Facebook-Fanpa- 
ges zu betreiben. Du kannst Facebook- 
Dienste weiterhin wie üblich nutzen. 
Da der Fall auf das Jahr 2011 - also vor 
dem Wirksamwerden der DSGVO - zu- 
rückgeht, legte der EuGH den damals 
gültigen rechtlichen Rahmen aus. Es 
ging um die Beschreibung der Ver- 
antwortlichkeiten der Parteien beim 
Erbringen von Webdiensten, nicht um 
die Rechtmäßigkeit der Facebook-Pro- 
dukte. Zudem ist das Urteil nicht nur 
auf Facebook, sondern weiter gehend 
auf Internetdienste anwendbar. Der 
Fall wird nun zum deutschen Gericht 
zurückverwiesen, das die nächsten 
Schritte festlegen wird. Mit unseren 
Partnern und den Aufsichtsbehörden 
werden wir mögliche Auswirkungen 


für unsere Dienste oder die diese nut- 
zenden Menschen oder Unternehmen 
begrenzen. Bei Bedarf arbeiten wir mit 
Dir und anderen Seiten-Administrato- 
ren zusammen, damit Du Deinen Ver- 
pflichtungen genügen kannst.” 


Rechtliche Schlüsse 


Es ist irritierend, wie die IHK Schles- 
wig-Holstein trotz der eindeutigen 
Formulierungen weiterhin jegliche 
Verantwortung der Wirtschaft für die 
Inanspruchnahme digitaler Plattfor- 
men zurückweist. Im Rahmen des Aus- 
wahlermessens nahm sich das ULD als 
Aufsichtsbehörde schon 2011 zurück 
und beschränkte sich auf die Durch- 
führung eines „Musterverfahrens”. 

Facebook selbst spielt weiterhin auf 
Zeit: Das Unternehmen wird gegen al- 
les, was ihm auferlegt werden wird, 
Rechtsmittel einlegen, insbesondere 
wenn es um die materiell-rechtliche 
Bewertung seiner Datenverarbeitung 
geht, also um die Grundlagen seines 
Geschäftsmodells. 

Welche Anpassungsleistungen Face- 
book - und andere Internet-Plattfor- 
men bzw. -Dienste - erbringen werden, 
hängt ausschließlich vom öffentlichen 
und rechtlichen Druck ab, der nun 
ausgeübt wird. In einem hat Facebook 
Recht: Das EuGH-Urteil betrifft nicht 
nur dieses Unternehmen, sondern 
praktisch sämtliche Internetdienste. 
Eine Fokussierung des Drucks auf Fa- 
cebook und zudem auf Google ist aber 
schon aus Ressourcengründen sinn- 
voll, aber auch, weil deren Geschäfts- 
modell am massivsten auf illegaler 
Datenauswertung basiert. Diese Fo- 
kussierung sollte durch alle möglichen 
Beteiligten erfolgen: Nichtregierungs- 
organisationen, Verbraucherzentralen, 
Betroffene, (Fach-JÖffentlichkeit und 
Aufsichtsbehörden. Spannend wäre, 
wenn sich deutsche Wettbewerber 
dieser US-Firmen fänden, die wegen 
Wettbewerbsverzerrung gegen die In- 
ternet-Giganten vorgingen. So würden 
datenschutzrechtliche Abmahnungen 
wenigstens Sinn machen. Doch diese 
Hoffnung dürfte angesichts der realen 
Marktmacht ein Traum bleiben. 

Wie die Geschichte dieses Urteils 
fortgesetzt wird, ist völlig offen. Von 
Facebook eingefordert werden muss 
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nun als erstes die in Art. 26 DSGVO ein- 
geforderte „Vereinbarung“ zwischen 
Facebook und seinen Fanpagebetrei- 
bern. Diese muss in „transparenter 
Form“ erfolgen, ist also zu veröffent- 
lichen und muss den Anforderungen 
der Art. 12 ff. DSGVO genügen, d.h. 
muss in präziser, verständlicher, leicht 
zugänglicher Form und in „klaren und 
einfachen Sprache“ erfolgen. Die Ver- 
einbarung muss Zwecke und Art der 
Verarbeitungen festlegen; d. h. Fa- 
cebook muss gezwungen werden, Art 
und Ort der Erfassung, Speicherung 
und Auswertung der erfolgenden Ver- 
arbeitung offenzulegen. Nur auf dieser 
Grundlage kann dann auch festgelegt 
werden, wie und gegenüber wem die 
Betroffenen ihre Rechte geltend ma- 
chen können, was letztlich auch in die 
Vereinbarung einfließen muss. 

Facebook wird sich insofern zunächst 
verweigern. Dann stellt sich die Frage, 
wie das Unternehmen gezwungen wer- 
den kann, seinen Pflichten nach der 
DSGVO gegenüber den Fanpagebetrei- 
bern gerecht zu werden. Die Antwort 
daraufgibt Art. 79 Abs. 2 DSGVO. Dieser 
hat zwar vorrangig das Verhältnis von 
Betroffenen zu Verantwortlichen und 
Auftragsverarbeitern im Blick, gilt aber 
für sämtliche die DSGVO als Streitge- 
genstand betreffenden gerichtlichen 
Auseinandersetzungen. Da Facebook 
eine Niederlassung in Deutschland hat, 
sind nach dieser Regelung auf die Kla- 
ge eines deutschen Fanpagebetreibers 
die deutschen Gerichte zuständig. Der 
hamburgischen Aufsichtsbehörde sind 
nach Art. 58 Abs. 2 lit. d DSGVO die für 
die Vereinbarung nötigen Informatio- 
nen zur Verfügung zu stellen und ein 
Vorschlag für eine solche Vereinbarung 
zu machen. Auch ein Verbraucher- 
schutzverband kann ein derartiges 
Verfahren nach 8 2 Abs. 2 Nr. 1 UKlaG 
in Gang setzen. 

Die materiell-rechtlichen Beschwer- 
den, die Max Schrems in Irland vorge- 
tragen hat und anlässlich der direkten 
Anwendbarkeit der DSGVO vertieft hat, 
sowie weitere anhängige Verfahren in 
Bezug auf rechtswidrige Datenverar- 
beitung durch Facebook müssen paral- 
lel weitergeführt werden. Es geht nicht 
anders, aber nötig sind jetzt erst recht 
die Offenlegung der Praktiken bei Fa- 
cebook, deren öffentliche Thematisie- 
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rung und viele rechtliche, aufsichts- 
behördliche, zivilrechtliche und ge- 
richtliche Verfahren (PM ULD, BayLfD, 
Betreiber von Facebook-Fanpages 
tragen Datenschutz-Verantwortung! 
v. 05.06.2018; Schulzki-Haddouti, 


Presseerklärung der DVD 
Bonn, 29. Mai 2018 


EuGH: Betreiber von Facebook-Fansei- 
ten sind für Datenschutz mitverant- 
wortlich, www.heise.de 05.06.2018; 
PM IHK, EuGH äußert sich zu zentralen 
Fragen, www.ihk-schleswig-holstein. 
de Nr. 4086290). 


DVD: Sachsen-Anhalt 
Datenschutz-Entwicklungsland!? 


Die Deutsche Vereinigung für Daten- 
schutz e. V. (DVD) zeigt sich schockiert 
darüber, dass nach zwei vergeblichen 
Versuchen am 08. März auch beim drit- 
ten Wahlgang am 24. Mai 2018 sich der 
Landtag von Sachsen-Anhalt als unfä- 
hig erwies, einen neuen Landesbeauf- 
tragten für den Datenschutz zu wählen. 
Der Kandidat, der 49jährige Nils Leo- 
pold, wurde von der Grünen vorgeschla- 
gen. Er erhielt 48 der 83 Stimmen des 
Landtags und verpasste damit auch im 
dritten Wahlgang um acht Stimmen die 
gesetzlich geforderte Zweidrittelmehr- 
heit. Zuvor hatten sich außer den Re- 
gierungsfraktionen CDU, SPD und Grüne 
auch die Linken öffentlich zu Leopold 
bekannt, dessen fachliche Qualifikation 
von niemandem in Frage gestellt wurde. 
Selbst die AfD hatte ihren Abgeordneten 
die Wahl freigestellt. 

Die Nichtwahl von Leopold erfolgte 
zu einem Zeitpunkt, zu dem der bishe- 
rige Landesbeauftragte schon mehr als 
ein Jahr kommissarisch das Amt fort- 
führen musste. Ein Umsetzungsgesetz 
des Landes für die Datenschutzgrund- 
verordnung, die seit dem Tag nach der 
Nichtwahl auch in diesem Bundesland 
direkt anwendbar ist, ist bisher (bis 
auf eine kleinere Änderung des Lan- 
desdatenschutzgesetzes bezogen auf 
die Datenschutzaufsichtsbehörde vom 
06.05.2018) noch kein Thema im Lan- 
desparlament. 

Der DVD-Vorsitzende Frank Spaeing 
kommentierte: „Das Trauerspiel um die 
Nichtwahl Leopolds zeigt ein weiteres 


Mal, welchen Stellenwert der Daten- 
schutz für die Politik gemeinhin hat. Es 
ist nicht das erste Mal, dass ganz offen- 
sichtlich fachfremde Erwägungen den 
Ausschlag bei der Wahl für diese Funkti- 
on geben, dass Abgeordnete ihren Frust 
über eine schwierige Koalitionspolitik 
auf diese feige Art und zum Schaden des 
Datenschutzes zum Ausdruck bringen. 
Zwar redet alle Welt von der nötigen Di- 
gitalisierung; eine verantwortungsvolle 
Wahrnehmung dieser Gestaltungsaufga- 
be wird aber verweigert.” 

Sein Stellvertreter Werner Hülsmann 
ergänzt: „Wenn das Land nicht jeden 
Kredit in Sachen digitaler Grundrechts- 
schutz verspielen möchte, sollte der 
Landtag in einer Schnellgesetzgebung 
die einfache Mehrheit für die Wahl des 
Datenschutzbeauftragten für ausrei- 
chend erklären und dann einen kom- 
petenten Kandidaten oder eine solche 
Kandidatin wählen. Es ist absurd, dass 
für die Wahl des Ministerpräsidenten die 
einfache Mehrheit genügt, für die Wahl 
des weniger einflussreichen Chefs der 
Datenschutzaufsicht dagegen eine qua- 
Lfizierte Zweidrittelmehrheit. Außer 
Sachsen-Anhalt kennt nur noch Nieder- 
sachsen dieses hohe Quorum, das auch 
dort zu massiven Zeitverzögerungen bei 
der Wahl für diese wichtige Kontroll- 
funktion führte.” 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Ulrich Kelber soll neuer 
BfDI werden 


Der Bonner SPD-Bundestagsabge- 
ordnete (MdB) Ulrich Kelber soll nach 
dem Willen der SPD neuer Bundesbe- 
auftragter für den Datenschutz und 
die Informationsfreiheit (BfDI) werden 
und Andrea Voßhoff ablösen. Damit 
hätte erstmals ein Informatiker diesen 
Posten inne. Am 01.01.2019 will Kel- 
ber sein Mandat als Bonns direkt ge- 
wählter Bundestagsabgeordneter nie- 
derlegen, um seinen neuen Job in der 
Bonner Behörde anzutreten. Die Wahl 
soll zuvor im Dezember im Bundestag 
stattfinden. Die SPD hat in dieser Le- 
gislaturperiode das Vorschlagsrecht 
für die Besetzung. Die amtierende BfDI 
Andrea Voßhoff hatte bereits während 
der Jamaika-Verhandlungen 2017 ge- 
genüber Mitarbeitenden sowie dem 
Bundesinnenministerium signalisiert, 
dass sie für eine zweite Amtszeit nicht 
zur Verfügung stehen werde. 

Kelber ist Diplom-Informatiker und 
hat in den 90er-Jahren am GMD For- 
schungszentrum Informationstechnik 
und bis 2001 als Berater bei Comma Soft 
gearbeitet. Er hatte sich in der vergan- 
genen Legislaturperiode als Parlamen- 
tarischer Staatssekretär für Verbrau- 
cherschutz, Mietrecht und Digitales 
bereits für einen besseren Datenschutz 
eingesetzt, allerdings im Rahmen der 
Großen Koalition nur mit mäßigem Er- 
folg. Er stimmte zwar für die Wiederein- 
führung der Vorratsdatenspeicherung, 
gleichwohl lehnte er die Online-Durch- 
suchung und den Einsatz von Staatstro- 
janern ab. Als „gläserner MdB” legte er 
seine Einkünfte offen. 

Kelber wird eine vergleichsweise gut 
ausgestattete Behörde übernehmen. 
Die Juristin und ehemalige CDU-Par- 
lamentarierin Voßhoff konnte in den 
letzten Haushaltsverhandlungen er- 
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hebliche Stellenzuwächse erreichen, so 
dass sich die Zahl der Mitarbeitenden 
der BfDI-Dienststelle seit ihrem Amts- 
antritt 2015 fast verdoppelte. Der Grund 
für die Personalaufstockung war nicht 
nur der stete Aufgabenzuwachs. Die 
Landesdatenschutzbehörden erhielten 
bei ähnlichem Aufgabenzuwachs er- 
heblich weniger Personalmittel. Vor al- 
lem die unionsinternen Überlegungen, 
alle Landesbehörden zugunsten einer 
großen zentralen Bundesbehörde ab- 
zuschaffen, dürften für die Zustimmung 
der Union in den Haushaltsverhandlun- 
gen eine Rolle gespielt haben. Unter- 
stützt werden diese Pläne in der aktu- 
ellen Regierung unter anderem von der 
neuen Digitalstaatssekretärin Dorothee 
Bär. Voßhoff konnte erreichen, dass der 
Bund im Europäischen Datenschutzaus- 
schuss (EDSA), der Nachfolgeeinrich- 
tung der Artikel-29-Gruppe, als erster 
Vertreter Deutschlands fungiert. Aus 
den Landesbehörden wird der Stell- 
vertreter benannt, wobei das jeweils 
diensthabende Land vom Bundesrat be- 
stimmt werden wird. Der Bund führt au- 
ßerdem eine Geschäftsstelle, welche die 
europäischen Aktivitäten koordinieren 
wird (Schulzki-Haddouti, Ein Informa- 
tiker als Bundesdatenschutzbeauftrag- 
ter: SPD schlägt Ulrich Kelber vor, www. 
heise.de 17.03.2018). 


Bund 


Digital-Staatsministerin 
Bär: Keine Ahnung vom 
Datenschutz 


Wenn die von der CSU benannte neue 
Digitalstaatsministerin Dorothee Bär 
gefragt worden wäre, ob sie wüsste, was 
Datenschutz ist, hätte sie sicher nicht 
ausdrücklich zugegeben, dass sie da- 
von keine Ahnung hat. Doch in unserer 
populismusverseuchten Politik lassen 
sich solche Botschaften sogar positiv 


verpacken. Dies versuchte Bär nach ih- 
rer Nominierung in einem Interview mit 
der BILD-Zeitung, als sie dem Journalis- 
ten beipflichtete, der meinte „der gute 
alte Datenschutz” würde Chancen im 
Gesundheitsbereich verhindern. Sie er- 
gänzte: „Wir brauchen deshalb endlich 
eine smarte Datenkultur vor allem für 
Unternehmen. Tatsächlich existiert in 
Deutschland aber ein Datenschutz wie 
im 18. Jahrhundert.” 

Marit Hansen, die Landesbeauftragte 
für Datenschutz Schleswig-Holstein, er- 
widerte hierauf: „Zum Glück ist es eben 
nicht so wie im 18. Jahrhundert, als Da- 
tenschutz ein Fremdwort war und sich 
die Idee der Grundrechte noch nicht 
weithin durchgesetzt hatte. Auch die 
Unterstellung, Datenschutz sei ein Ver- 
hinderer der Digitalisierung, ist falsch. 
Wichtig ist aber, dass die Grundrechte 
von Anfang an mitbedacht und in die 
entwickelten Lösungen eingebaut wer- 
den. Datensparsamkeit und Zweckbin- 
dung sind keineswegs überholt, son- 
dern gehören weiterhin zum Fundament 
für eine demokratische Informations- 
gesellschaft. Datenschutz-Grundsätze 
sind also nicht veraltet, sondern müs- 
sen in die smarte Technik Eingang fin- 
den, um den Risiken durch Datenkraken 
und Sicherheitslücken entgegenzu- 
wirken. Die Wirtschaft, Forschung und 
Politik sind gefordert, solche innova- 
tiven Lösungen voranzubringen. Der 
Datenschutz des 21. Jahrhunderts in 
unserer Welt, in der bald alles mit allem 
vernetzt wird, muss in Produkten und 
Infrastrukturen endlich zur Selbstver- 
ständlichkeit werden. Ich begrüße es, 
wenn das Digitalisierungsministerium 
eine smarte Datenkultur im Sinne der 
Grundrechte fördert.” 

Ähnlich sachlich argumentierte die 
Linken-Vorsitzende Katja Kipping: „In- 
zwischen wissen Facebook und Co mehr 
über die Menschen als jeder Geheim- 
dienst“. Den Herausforderungen der 
Digitalisierung könne nicht begegnet 
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werden, „indem wir Grundrechte und 
Datenschutz als unmodern abtun“. 

Auch der Parlamentarische Staats- 
sekretär im Bundesjustizministerium 
und designierter künftiger Bundesda- 
tenschutzbeauftrater Ulrich Kelber (s. 
0.), kritisierte Bärs Äußerungen zum 
Datenschutz. Datenschutz sei Schutz 
von Grundrechten: „Das kommt nie 
aus der Mode und ist in Zeiten umfas- 
sender digitaler Datenerhebung und 
-analyse dringender als je zuvor.” Dies 
bestätigten auch zahlreiche Urteile des 
Bundesverfassungsgerichts. „Es ist mir 
unerklärlich, wie Frau Bär das als 18. 
Jahrhundert abtun kann.” Irritierend 
sei überdies, so Kelber, „dass Frau Bär 
anscheinend nicht realisiert hat, dass 
ab Mitte Mai außerdem in der gesamten 
Europäischen Union ein neues, moder- 
nisiertes Datenschutzrecht gilt, dass 
genau diesen Schutz der Grundrechte 
in den Mittelpunkt rückt”. Falsch sei die 
Behauptung Bärs, der deutsche Daten- 
schutz würde einer Nutzung von Daten 
etwa im Gesundheitsbereich entgegen- 
stehen. „Der Abgleich von Patientenda- 
ten mit einer Datenbank ähnlicher Fälle 
scheitert natürlich nicht am Daten- 
schutz. Wenn Frau Bär abseits von Flos- 
keln wie smart konkrete Vorschläge hat, 
kann man darüber sprechen, aber so ist 
das eine Luftnummer.” 

So sehr Hansen, Kipping und Kelber 
Recht haben, so wenig verfangen ihre 
Argumente bei einer zur „Staatsminis- 
terin“ aufgeblasenen Staatssekretä- 
rin, der es darum geht, heiße Luft zu 
verbreiten, etwa wenn sie erklärt, den 
Unternehmen helfen zu wollen, „Cham- 
pions League zu spielen, Weltmeister zu 
sein“. Sie wolle dabei „ein Taktgeber” 
sein. Ihr gehe die Digitalisierung „viel, 
viel zu langsam”. Jetzt entscheide sich 
die Zukunft des Landes: „Wir sind im 
Moment eine sehr erfolgreiche Indus- 
trienation. Das heißt aber nicht, dass 
wir auch eine erfolgreiche Digitalnation 
bleiben.” Digitalisierung müsse für alle 
Politiker, Bürger und Unternehmen „das 
Topthema Nummer Eins“ sein. 

Politik gemäß dieser Denke betreibt 
die Bundesregierung schon lange, an- 
geführt von Bundeskanzlerin Angela 
Merkel (CDU) und dem zeitweiligen 
Wirtschaftsminister und Vizekanzler 
Sigmar Gabriel (SPD) und sekundiert 
von einem Alexander Dobrindt (CSU), 
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wie diese z. B. auf vergangenen IT-Gip- 
feln verlautbaren ließen. Auch die FDP, 
von der man nach ihrer Wahlschlappe 
2013 hoffen konnte, sie würde sich auf 
ihre bürgerrechtlichen Wurzeln besin- 
nen, plakatierte zur Bundestagswahl 
2017 den Schlachtruf ihres Frontmanns 
Christian Lindner „Digital first, Beden- 
ken second”. 

Dass Digitalisierung eine politische 
Gestaltungsaufgabe ist, wird von der 
Politik bis heute entweder nicht erkannt 
oder dies ist wegen mangelnder Popula- 
rität kein politisches Thema. Die perso- 
nelle Besetzung des Bundeskabinetts 
- auch jenseits der Digitalisierungs- 
Staatsministerin ohne Personal und Ah- 
nung - lässt nichts Gutes ahnen („An- 
griff auf Datenschutz” SZ 07.03.2018, 
5; Neuerer, SPD-Staatssekretär atta- 
ckiert künftige Digitalministerin für 
Aussagen zum Datenschutz, www.wiwo. 
de 07.03.2018; ULD PE v. 06.03.2018: 
„Zukunftsweisender Datenschutz in 
Deutschland und Europa Staat „wie im 
18. Jahrhundert”; So will Dorothee Bär 
Deutschland digitalisieren, www.faz.net 
06.03.2018). 


Bund 


Bundesgesundheitsminister 
Spahn hält nichts vom 
Datenschutz 


Der neue im Bundeskabinett zustän- 
dige Gesundheitsminister Jens Spahn 
(CDU, 37 Jahre alt, seit 15 Jahren im 
Bundestag), war zwar direkt vor dieser 
Nominierung etwas länger als ein Jahr 
Staatssekretärim Bundesfinanzministe- 
rium, doch engagierte er sich zuvor und 
auch während dieser Zeitin der Gesund- 
heitspolitik und zeigte sich kritisch ge- 
genüber dem Datenschutz. September 
2016 veröffentlichte er gemeinsam mit 
dem ehemaligen Chef des Hamburger 
Uni-Klinikums Eppendorf Jörg Debatin 
sowie Markus Müschenich, Mitgründer 
des Bundesverbands Internetmedizin 
und Mitglied der Arbeitsgruppe „Tele- 
medizin“ in der Bundesärztekammer, im 
konservativen Herder-Verlag das Buch 
„App vom Arzt - Bessere Gesundheit 
durch digitale Medizin“. Eine zentrale 
Aussage des Buchs ist: „Datenschutz 
ist was für Gesunde” Denn insbesonde- 


re kranke Menschen würden von einem 
vermehrten Datenaustausch im Ge- 
sundheitswesen profitieren. 

Um ihre Vision von der Versorgung der 
Zukunft zu erläutern, führen die Auto- 
ren folgende Situation an: Man wacht 
mitten in der Nacht mit Herzrasen auf. 
„Welch ein Segen wäre es da für Sie, 
für Ihren ruhigen Schlaf und auch Ih- 
ren Partner oder Ihre Partnerin, wenn 
Sie die Symptome einfach in eine App 
eingeben könnten, die Ihre Kranken- 
geschichte kennt und mit den akuten 
Beschwerden abgleicht und Ihnen so 
in Sekundenschnelle entweder akute 
Maßnahmen empfiehlt oder Sie direkt 
per App mit einem Arzt verbindet, der 
Ihnen sofort zuhört.” Dem Buch zu- 
folge sterben in Deutschland pro Jahr 
mehr Menschen an falsch aufeinander 
abgestimmten Medikamenten als im 
Straßenverkehr. Das ließe sich vermei- 
den, wenn Ärzte und Apotheker mehr 
über die Einnahmegewohnheiten der 
PatientInnen wüssten. „Wenn Ihr Me- 
dikationsplan digital verfügbar ist, in 
dem mit Ihrer Zustimmung festgehalten 
wird, welche Medikamente Sie wann 
und wie oft nehmen müssen und wel- 
ches Behandlungsziel damit verfolgt 
wird, dann können diese Entscheidun- 
gen blitzschnell auf einer viel besseren 
Basis getroffen werden.” 

Das Werk sieht eine Zukunft in der 
„personalisierten Arzneimittelversor- 
gung”: „Vielleicht erleben wir bald das 
Ende der Arzneimittel, wie wir sie heu- 
te kennen.” Denn heutzutage würden 
Medikamente nach dem Motto „One 
size fits all” ausgegeben. Wenn aber mit 
Hilfe der Datensätze anderer Patien- 
tInnen zuvor abgeglichen würde, ob es 
ähnliche Behandlungsfälle gab, in der 
die Therapie erfolgreich verlief, dann 
könnten personalisierte und einmalige 
Wirkstoff-Zusammenstellungen produ- 
ziert werden. 

Für alle im Buch vorgestellten Versor- 
gungsverbesserungen durch eine digi- 
talisierte Medizin sei aber ein „weniger 
verkrampftes Verhältnis zum Umgang 
mit den Daten” nötig, so die Autoren. 
Ziel sei es, die Sensibilität für das Be- 
dürfnis nach Datenschutz und -sicher- 
heit zu verlieren: „Daten haben also 
einen weitaus größeren Nutzen als nur 
den, dass Unternehmen uns personali- 
sierte Werbung zukommen lassen kön- 
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nen. Sie sind der Rohstoff der Zukunft 
für ein hochindustrialisiertes Land wie 
Deutschland.” 

Wie Spahn seine Vorstellungen von 
der Digitalisierung der Medizin umset- 
zen wird, muss sich zeigen. Im schwarz- 
roten Koalitionsvertrag heißt es: „Es 
wird sichergestellt, dass die Datenspei- 
cherung den strengen Anforderungen 
des Datenschutzes unterliegt.” Selbst 
„ein Verbot des Versandhandels mit 
verschreibungspflichtigen Arzneimit- 
teln“ ist dort vorgesehen. Damit würde 
das Geschäft des Online-Händlers Doc 
Morris durchkreuzt, wo Spahns Freund 
Max Müller im Vorstand sitzt. Spahn und 
Müller hatten sich 2006 gemeinsam an 
der Lobbyagentur Politas beteiligt, die 
ihren Kunden „gute persönliche Kon- 
takte” im politischen Berlin versprach 
(„Datenschutz ist was für Gesunde“, 
www.deutsche-apotheker-zeitung.de, 
10.06.2016; Ludwig, Der Anti-Gröhe, SZ 
01.03.2018, 6). 


Bund 


CDU und FDP nutzen 
Post-Daten für Wahlkampf- 
zwecke 


Es war offenbar kein Aprilscherz, als 
die „Bild am Sonntag” am 01.04.2018 
berichtete, dass die Post Direkt, eine 
Tochter der Deutschen Post AG, im Bun- 
destagswahlkampf zugunsten der CDU 
und der FDP Kundendaten für Werbe- 
zwecke eingesetzt hat. Demgemäß ver- 
kauft der ehemalige Staatskonzern seit 
2005 Daten an Parteien zu Wahlkampf- 
zwecken. 2017 sollen CDU und FDP 
jeweils einen fünfstelligen Betrag für 
straßengenaue Analysen gezahlt haben. 

Ein CDU-Sprecher teilte mit, man 
habe im Wahlkampf eine Massenpost- 
sendung bei der Post Direkt in Auftrag 
gegeben. Dabei seien keine Daten an die 
CDU übermittelt oder über Einzelhaus- 
halte gekauft worden. Die Post habe 
für den Haustürwahlkampf eine statis- 
tische „CDU-Wahlwahrscheinlichkeit” 
für Straßenabschnitte geliefert. Dazu 
habe man Zugriff auf eine Kartenan- 
sicht erhalten. Es seien vollkommen an- 
onymisierte Daten verwendet worden, 
ein Personenbezug sei nicht herstellbar 
gewesen. Der Zugang zur Datenbank sei 
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nach der Wahl beendet worden. Thomas 
Jarzombek, für Digitales in der CDU- 
Bundestagsfraktion zuständig, warnte 
vor Hysterie und davor, die Post mit 
Facebook gleichzusetzen: „Es gibt per- 
sonenbezogene Daten, das sind die, 
die Facebook erhebt. Dann gibt es noch 
pseudonymisierte Daten und anonymi- 
sierte Daten.” Beider Post gehe esledig- 
lich um letztere. Die könne man nicht 
zu einzelnen Personen zurückverfol- 
gen. Zum Fall Cambridge Analytica, bei 
dem mutmaßlich illegal Daten von 50 
Millionen Facebook-Nutzenden abge- 
schöpft worden waren, hatte er erklärt: 
„Es droht ein Riesenskandal.” Mit Blick 
auf die eigene Datennutzung meinte er, 
man dürfe keine Ablenkungsgefechte 
führen, sodass Facebook am Ende sagen 
könne, das machten alle: „Das machen 
eben nicht alle. Wir sind auf dem Weg in 
eine Datenökonomie.” Die Verarbeitung 
unproblematischer Daten sei lebensnot- 
wendig für die Wirtschaft: „Es darfnicht 
der Eindruck entstehen, Daten zu verar- 
beiten wäre etwas Schlechtes.” 

Der Parlamentarische Geschäftsfüh- 
rer der FDP-Bundestagsfraktion, Marco 
Buschmann, schrieb auf Facebook, die 
von der Post erworbenen Daten seien 
vollständig anonymisiert gewesen und 
im Einklang mit dem Datenschutzrecht 
bearbeitet worden. Als Datenschutzpar- 
tei habe man darauf geachtet, dass kei- 
ne personenbezogenen Daten verwen- 
det wurden. Die Daten hätten zudem 
ausschließlich einen Wahrscheinlich- 
keitswert geliefert, „einen möglichen 
FDP-affinen Wähler anzutreffen“. 

Gemäß einem Sprecher der Post Direkt 
würden „personenbezogene Daten bei 
strikter Einhaltung des Bundesdaten- 
schutzgesetzes” verarbeitet. Dargestellt 
worden seien keine personenbezoge- 
nen Daten, sondern nur statistische 
Wahrscheinlichkeitswerte. Die Daten 
bezögen sich somit nicht auf einzelne 
Haushalte. Die Firma sei unter Aufsicht 
des Bundesbeauftragten „über die Jahre 
regelmäßig überprüft worden“. Die Da- 
ten bezögen sich auf sogenannte Mik- 
rozellen, die statistisch 6,6 Haushalten 
entsprechen. Anke Domscheit-Berg, 
netzpolitische Sprecherin der Linken im 
Bundestag, kritisierte die Praxis: „Eine 
Weitergabe dieser privaten Daten muss 
ohne ausdrückliche Zustimmung verbo- 
ten sein.” 


Gemäß einer Werbebroschüre der 
Post-Tochter mit Stand März 2018 ste- 
hen dem Unternehmen für circa 20 Mil- 
lionen Häuser mit rund 34 Millionen 
Haushalten in Deutschland mehr als 
eine Milliarde Einzelinformationen zur 
Verfügung. Sie besitze Daten zu 85% al- 
ler Haushalte in Deutschland, darunter 
Angaben zu Kaufkraft, Bankverhalten, 
Geschlecht, Alter, Bildung, Wohnsitu- 
ation, Familienstruktur, Wohnumfeld 
und Pkw-Besitz. Wer eine Adresse hat, 
landet automatisch in den Post-Daten- 
banken. Um die Weitergabe dieser Da- 
ten zu verhindern, muss der Nutzung 
schriftlich widersprechen. 

Angaben zu politischen Präferenzen 
sind sensitive Daten gemäß & 3 Abs. 9 
BDSG (Bundesdatenschutzgesetz), 
auch wenn es sich nur um Wahrschein- 
lichkeitsangaben handelt. Deren Ver- 
arbeitung für Werbezwecke war zum 
Verarbeitungszeitpunkt nicht gemäß 
& 28 Abs. 3 BDSG zulässig; vielmehr ist 
& 28 Abs. 6-9 BDSG anwendbar, wonach 
keine entsprechende Legitimation vor- 
liegt. Insbesondere gilt auch 8 28 Abs. 9 
BDSG nicht, der auch für politische Par- 
teien anwendbar ist, da eine „Erforder- 
lichkeit” nicht besteht. Diese Regelung 
bezieht sich v. a. auf Mitglieder und 
InteressentInnen und nicht auf politi- 
sches Direktmarketing. 

Zentral für die Bewertung ist also, ob, 
wie Post Direkt, FDP und CDU behaup- 
ten, hier ein Personenbezug besteht 
oder nicht. Dies ist zunächst davon 
abhängig, wie detailliert die Profile wa- 
ren. Bei Mikrozellen mit statistisch 6,6 
Haushalten im Straßenzug wird es oft 
vorkommen, dass auch nur ein Haushalt 
erfasst wird, so dass sich schon hier- 
aus ein Personenbezug ergibt. Wurden 
zusätzlich zu den politischen Präfe- 
renzen weitere Daten (Kaufkraft, Alter, 
Bildung) einbezogen, dürfte zusätzlich 
fraglich sein, dass selbst bei einer Ag- 
gregierung der politischen Präferenz 
auf Straßenabschnitte eine Anonymi- 
sierung vorliegt. Keine Anonymität liegt 
in jedem Fall vor, wenn die Wahrschein- 
lichkeitsdaten (z. B. CDU-Wahlwahr- 
scheinlichkeit) wieder einem personen- 
bezogenen Datum (Adresse) zugeordnet 
wurden. Dies ist bei Massenpostsendun- 
gen zwangsläufig der Fall. 

Gemäß den Pressedarstellungen wur- 
den die Daten von Post Direkt im sog. 
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Lettershop-Verfahren eingesetzt. Der 
Rechtsverstoß läge dann vorrangig bei 
der Post Direkt. Bestand auch Zugang 
zu den Daten für die Parteien und haben 
sie diese für direkte Ansprachen, z. B. 
Haustürbesuche verwendet, dann sind 
auch die Parteien im datenschutzrecht- 
lichen Sinn verantwortlich und hätten 
sich direkt rechtswidrig betätigt. 

Von wenig Datenschutzkenntnissen 
zeugte das Statement des Postsprechers 
auch insofern, dass er auf die dauern- 
de Kontrolle durch den Bundesdaten- 
schutzbeauftragten hinwies. Dabei ist 
ihm offenbar entgangen, dass das Amt 
derzeit eine Frau innehat, die überhaupt 
nicht für die Post Direkt zuständig ist. 
Die Post Direkt ist ein Adresshändler, 
kein Postunternehmen, und unterliegt 
der Datenschutzkontrolle der Landes- 
beauftragten für Datenschutz und In- 
formationsfreiheit Nordrhein-Westfalen 
(LDINRW). 

Tatsächlich ließ die LDI NRW, Helga 
Block, umgehend mitteilen, dass ihre 
Behörde eine Prüfung begonnen hat, 
ob der Adresshandel von Post Direkt 
im Wahlkampf im Einklang mit dem 
Bundesdatenschutzgesetz stehe. Das 
Unternehmen werde innerhalb weni- 
ger Tage einen Fragenkatalog der Da- 
tenschutzbehörde erhalten, berichtete 
der LDI-Sprecher Nils Schröder. Das 
Prüfverfahren werde voraussichtlich 
etwa vier Wochen dauern; die Parteien 
seien zunächst nicht gefragt. Die Da- 
tenschutzbehörde empfahl zudem allen 
VerbraucherInnen, sich bei Post Direkt 
in Troisdorf zu erkundigen, was über sie 
gespeichert wurde. 

Für das Direktwerbeverfahren bei 
Wahlen hat das deutsche Recht in den 
Meldegesetzen eine Regelung geschaf- 
fen, die politischen Parteien kurz vor 
der Wahl Adressdaten nach Alter aggre- 
giert und ohne Wahlpräferenzen über 
die Meldebehörden bereitstellt. Würde 
man die Praxis der Post Direkt erlauben, 
so würden die strengeren Regeln des 
Melderechts umgangen. Diese stren- 
gen Regeln gelten schon seit langem. 
Sie sollen Wahlmanipulationen, wie 
sie gerade in den USA und GB bekannt 
wurden, verhindern (Deutsche Post ver- 
teidigt Datengeschäfte, www.spiegel.de 
01.04.2018; Rossbach, Post als Wahl- 
kampfhelfer, SZ 03.04.2018, 5; Wilkens, 
Datenschutzbehörde prüft Adresshan- 
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del mit Post-Daten im Bundestagswahl- 
kampf, www.heise.de 03.04.2018). 


Bund 


Verfassungsbeschwerde 
gegen eGK-Markierung von 
chronisch Kranken 


Der Verein Patientenrechte und Da- 
tenschutz e.V. unterstützt eine Be- 
schwerde beim Bundesverfassungsge- 
richt (BVerfG) eines IT-Ingenieurs, mit 
der sich dieser gegen die Kennzeich- 
nung chronisch Kranker auf der elek- 
tronischen Gesundheitskarte (eGK) 
wendet. Nach Ansicht des Vereinsvorsit- 
zenden Jan Kuhlmann, der zugleich den 
Ingenieur anwaltlich vertritt, ist diese 
Speicherung illegal. Alle Daten, die auf 
der eGK gespeichert werden dürfen, sei- 
en im Sozialgesetzbuch V aufgelistet. 
Dazu gehöre nicht die Kennzeichnung 
der Teilnahme an Behandlungsprogram- 
men der Krankenkassen für chronische 
Krankheiten. Solange Krankenkassen 
und Ärzteverbände diese unzulässige 
Datenspeicherung betrieben, verlangt 
der Kläger für seine Arztbesuche Papier- 
Ersatzbescheinigungen, wie sie Versi- 
cherte z. B. nach einem Umzug kurz- 
fristig erhalten. 

Der Kläger ist derzeit kein Teilnehmer 
in einem Chronikerprogramm. Trotz- 
dem sieht er sein Arztgeheimnis und 
sein Recht auf Datenschutz schon jetzt 
gestört: „Ich muss ja bei allem, was ich 
meinem Arzt anvertraue, überlegen, in 
welcher Form es - jetzt oderirgendwann 
später - gespeichert und weitergegeben 
wird.” Über 7 Millionen gesetzlich Kran- 
kenversicherte nehmen an „Disease 
Management Programmen” (DMP) teil, 
die esz.B. für Diabetes, koronare Herz- 
krankheit und COPD, den sogenannten 
Raucherhusten, gibt. Auf der eGK wird 
dafür ein Kennbuchstabe gespeichert. 
Welcher Buchstabe für welche Krank- 
heit steht, ergibt sich aus einem öffent- 
lichen Schlüsselverzeichnis, das z. B. 
bei Wikipedia nachzulesen ist. Das Lan- 
dessozialgericht Baden-Württemberg 
hielt die Speicherung des Kennzeichens 
auf der Karte für rechtswidrig, umging 
aber eine Entscheidung in der Sache, 
weil der Kläger nicht persönlich betrof- 
fen sei. Der Kläger geht gegen die Kla- 


gerückweisung mangels Klagebefugnis 
vor, mit der Behauptung, dass das in 
vergleichbaren Fällen vom BVerfG schon 
anders entschieden worden wäre. 

Über 80 % der Menschen in Deutsch- 
land sind in der gesetzlichen Kranken- 
versicherung (GKV), die Mehrzahl davon 
hat eine eGK, die sie bei Arztbesuchen 
regelmäßig vorlegen müssen. Die DMP- 
Kennzeichnung geht auf Vorgaben der 
Krankenkassen und der Ärzteverbände 
zurück. Danach ist das DMP-Kennzei- 
chen Teil der Versicherten-Stammda- 
ten, die auf der eGK gespeichert und 
ab 2018 online zwischen Arztpraxen 
und Krankenkassen abgeglichen wer- 
den sollen. Die Gematik ist eine GmbH 
zur elektronischen Vernetzung des Ge- 
sundheitswesens, an der Krankenkas- 
sen, Krankenhaus- und Ärzteverbände 
beteiligt sind. PatientInnen haben hier 
keine Mitspracherechte. Dem versucht 
der Verein Patientenrechte und Daten- 
schutz e.V. abzuhelfen, der die digitale 
Vernetzung des Gesundheitswesens aus 
Patientensicht kritisch begleitet (Ver- 
ein Patientenrechte und Datenschutz, 
Kennzeichnung chronisch Kranker 
auf Elektronischer Gesundheitskarte 
- Verfassungsbeschwerde eingelegt, 
20.03.2018). 


Bundesweit 


Aufsichtsbehörden benöti- 
gen mehr Ressourcen 


Die neue europäische Datenschutz- 
Grundverordnung (DSGVO) wird nicht 
nur für Unternehmen, sondern auch 
für die Aufsichtsbehörden eine große 
Belastungsprobe werden. Die Bundes- 
beauftragte für den Datenschutz und 
die Informationsfreiheit, Andrea VoR- 
hoff, erklärte: „Besonders herausfor- 
dernd ist dabei schon jetzt die starke 
Beratungsnachfrage von Behörden und 
Unternehmen hinsichtlich der Umset- 
zung des neuen Rechts”. Marit Hansen, 
Datenschutzbeauftragte von Schleswig- 
Holstein, sieht hierbei ein nicht kalku- 
lierbares Risiko. „Die große Unbekannte 
ist das wohl deutlich steigende Aufkom- 
men von Beschwerden, Beratungsersu- 
chen und Gerichtsprozessen. Hier kann 
es sein, dass schon nach kurzer Zeit Auf- 
sichtsbehörden Alarm schlagen müssen, 
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weil ihre Ausstattung nicht ausreicht 
und im Haushalt des Landes nachgelegt 
werden muss.” Ein Rechtsgutachten im 
Auftrag des Hamburger Datenschützers 
Johannes Caspar weist einen künftigen 
Mehrbedarf von über 20 Stellen für die 
durchschnittliche Landesbehörde aus: 
„Das ist mehr als eine Reihe von Behör- 
den derzeit an Personen überhaupt be- 
schäftigt”. Einige Mitgliedstaaten sowie 
der Bund und einige Länder hätten ihre 
Behörden personell für die neuen Auf- 
gaben bereits aufgestockt oder entspre- 
chend Stellen in den Haushaltsplänen 
ausgewiesen, andere aber noch nicht. 
Zwar bereiteten sich die Behörden seit 
Monaten auf die neuen Datenschutz- 
regeln vor. Die neuen Arbeitsabläufe 
müssten aber „erst einmal eingeübt 
werden”. Hierfür sei eine „auskömmli- 
che Ausstattung” unverzichtbar. Spezi- 
alistInnen für die neuen Aufgaben sind 
aber nur schwer zu finden. Dies bestä- 
tigt auch Hansen: „Der Arbeitsmarkt für 
ausgebildete Datenschutzexperten, die 
Recht und Technik im Blick haben und 
möglichst Erfahrungen aus der Praxis 
mitbringen, ist weitgehend leergefegt“. 
Caspar sieht weitere Probleme auf die 
Aufsichtsbehörden zukommen, sollte 
der Vollzug der Datenschutz-Grundver- 
ordnung nicht überall gleich erfolgen. 
„Es ist klar, dass allein die Vereinheitli- 
chung des Rechts wenig bewirkt, wenn 
das Rechtin jedem Mitgliedstaat anders 
angewendet wird“. Der Effekt wäre: Un- 
ternehmen müssten „am Ort der laxen 
Auslegungspraxis selbst bei schweren 
Datenschutzverstößen nichts befürch- 
ten“. Die „einheitliche Architektur der 
Datenschutzaufsicht” sei daher eines 
der wichtigsten Anliegen der DSGVO 
(Aufsichtsbehörden fürchten Überfor- 
derung durch EU-Datenschutz, www. 
fuldainfo.de 15.02.2018). 


Bundesweit 


Erpresser drohen mit 
Intim-Videos 


In einer Erpressungswelle versuchen 
Kriminelle seit April 2018 die Scham ih- 
rer Opfer auszunutzen. In einer E-Mail 
behaupten sie, mit Hilfe eines Trojaner 
per Webcam das Opfer während des Kon- 
sums pornografischer Videos gefilmt zu 
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haben. Damit die Aufnahmen nicht ver- 
breitet werden, sei ein Betrag von 500 
Euro fällig: 

„** xxx@yyy.de, Ihr Leben kann zer- 
stört werden ** 


Guten Tag, 


Masturbieren ist natürlich normal, 
aber wenn deine Familie und Freunde 
davon zeugen, ist es natürlich eine gro- 
ße Schande. 

Ich habe dich eine Weile beobachtet, 
weilich dich in einer Werbung auf einer 
Porno-Webseite durch einen Virus ge- 
hackt habe. 

Wenn Sie das nicht wissen, werde 
ich es erklären. Ein Trojaner gibt Ihnen 
vollen Zugriff und Kontrolle über einen 
Computer (oder ein anderes Gerät). Das 
bedeutet, dass ich alles auf Ihrem Bild- 
schirm sehen und Ihre Kamera und Ihr 
Mikrofon einschalten kann, ohne dass 
Sie es bemerken. So habe ich auch Zu- 
gang zu all deinen Kontakten. 

Ich habe ein Video gemacht, das zeigt, 
wie du auf der linken Bildschirmhälfte 
masturbierst und auf der rechten Hälfte 
siehst du das Video, das du gerade an- 
gesehen hast. Auf Knopfdruck kann ich 
dieses Video an alle Kontakte Ihrer E-Mail 
und Social Media weiterleiten. 

Wenn Sie dies verhindern möchten, 
überweisen Sie einen Betrag von 500 
EUR auf meine Bitcoin-Adresse. 

Schritt 1: Gehen Sie zu coinbase.com 
und erstellen Sie ein Konto. 

Schritt 2: Bestätigen Sie Ihr Konto mit 
Ihrem Reisepass oder Personalausweis. 

Schritt 3: Zahlen Sie das Geld auf Ihr 
Coinbase Bitcoin Konto über Ihre Kre- 
ditkarte oder Ihr Bankkonto ein. 

Schritt 4: Schicken Sie die Münzen an 
die unten angegebene Bitcoin-Adresse: 

1AipgebsiDBYKrhyFKagVoj1zBnwg2ng3s 


Sobald die Zahlung eingegangen ist, 
lösche ich das Video und du wirst nie 
wieder von mir hören. Ich gebe Ihnen 
3 Tage, um die Zahlung zu machen. Da- 
nach wissen Sie, was passiert. Ich kann 
es sehen, wenn Sie diese E-Mail gelesen 
haben, damit die Uhr jetzt ttickt. 

Es ist Zeitverschwendung, mich an die 
Polizei zu melden, da diese E-Mail we- 
der in irgendeiner Form noch in meiner 
Bitcoin-Adresse nachverfolgt werden 
kann. Ich mache keine Fehler. Wenn ich 


feststelle, dass Sie einen Bericht einge- 
reicht oder diese Nachricht an jemand 
anderen weitergegeben haben, wird das 
Video sofort verteilt. 


Grüße!” 


Auch wenn der geschilderte Sachver- 
halt technisch möglich wäre, handelt 
es sich hier zweifelsfrei um Fakes. Die 
E-Mails sind vor allem daran als Fäl- 
schungen zu erkennen, dass sie keinen 
konkreten Bezug zum Empfänger her- 
stellen. In den aktuellen Kampagnen 
wird nicht einmal dessen Name verwen- 
det. Erpresser mit echtem Drohpotential 
würden darüber hinaus ihre Forderung 
etwa durch Bilder untermauern, die 
keinen Zweifel daran lassen, dass sie 
die angeblichen Videos besitzen. Ist das 
nicht der Fall, können solche Erpresser- 
Mails ignoriert werden. Dennoch sollten 
sie der Polizei zur Anzeige gebracht wer- 
den verbunden mit der Übermittlung 
der Mail-Metadaten, so dass von den Er- 
mittlern Rückschlüsse auf die zumeist 
ausländische Herkunft und auf die Täter 
möglich werden. 

Als Empfehlung an alle, die sich vor 
Angriffen in die Intimsphäre schützen 
wollen, gilt: Deaktivieren Sie Kameras 
und Mikrophone. Überkleben Sie die Ka- 
mera aufihrem Rechner, wenn Sie diese 
nicht benötigen. Und sollte es Hinwei- 
se geben, dass die in einer solchen Er- 
pressungsmail enthaltene Drohung real 
ist, dann sollte in jedem Fall die Polizei 
eingeschaltet werden (Wilkens, Mail-Er- 
presser wollen Bitcoin: „Masturbierenist 
natürlich normal, aber...”, wwwr.heise. 
de 04.05.2018). 


Baden-Württemberg 


Datenschutzbeauftragter 
fordert Nachbesserungen 
bei Windows 10 


Der baden-württembergische Landes- 
datenschutzbeauftragte Stefan Brink 
fordert Microsoft auf, Windows 10 hin- 
sichtlich ungeklärter Datentransfers 
„schleunigst nachzubessern“. Längst 
bekannte Sicherheitsbedenken sind 
noch immer nicht ausgeräumt. Die 
Bürostandardsoftware in deutschen 
Behörden wird von Microsoft gestellt. 
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Trotz Sicherheitsbedenken wird teil- 
weise bereits Windows 10 verwendet. 
Obwohl die Online-Services vollständig 
deaktiviert sind, werden dabei weiter- 
hin einige verschlüsselte Datensätze 
an Microsoft übermittelt. Die BITBW als 
IT-Dienstleisterin für die Landesverwal- 
tung in Baden-Württemberg hat unge- 
achtet der offenen Sicherheitsfragen 
unter anderem die Landesdatenschutz- 
behörde bereits mit Windows 10 ausge- 
stattet. 

Brink forderte Ende März 2018 Mi- 
crosoft mit Blick auf die bekannt gewor- 
denen Sicherheitslücken auf, „schleu- 
nigst nachzubessern und sich spätes- 
tens ab Ende Mai an die Datenschutz- 
Grundverordnung zu halten“. Die Sys- 
temadministratoren der betroffenen 
Systeme sollen bis dahin „durch ent- 
sprechende Grundeinstellungen dafür 
sorgen, dass möglichst wenig übertra- 
gen wird”. Was den Einsatz von Windows 
10 im eigenen Haus anbelangt, erklär- 
te Brink, dass die dort eigengenutzte 
Hard- und Software zwar kontinuierlich 
geprüft und bewertet werde, dass es 
„jedoch keine generelle Freigabe von 
Produkten mit verbindlicher Wirkung 
für die Verwaltung insgesamt” gebe. 
Mit Blick auf die BITBW sagte er, dass er 
allerdings den Einsatz problematischer 
Produkte beanstanden und damit deren 
fortgesetzter Nutzung entgegentreten 
könne - „ab Mai 2018 sogar mit verbind- 
licher Wirkung”. 

Brink stellte die rechtlichen Anforde- 
rungen an die öffentliche Beschaffung 
klar: „Ein Dienstleister, der diesen An- 
forderungen nicht genügen kann oder 
will, scheidet künftig aus dem Kreis der- 
jenigen aus, mit denen ein datenschutz- 
rechtlich Verantwortlicher kooperieren 
kann.” Er hat dabei nicht nur das eigene 
Haus im Blick und betonte, dass „jeder 
Nutzer von Windows 10, wie auch ande- 
ren Betriebssystemen und Anwendun- 
gen, die volle Kontrolle über seine Daten 
haben muss”. Es müsse „volle Transpa- 
renz bezüglich der übertragenen Daten 
herrschen und der Anwender muss jede 
Übertragung deaktivieren können“. 
Brink bewertet die eigene Situation 
„durchaus selbstkritisch”, sieht sich 
aber in der gleichen Situation wie viele 
andere Behörden: „Derzeit setzen viele 
in der öffentlichen Verwaltung einge- 
setzte Anwendungen Windows voraus. 
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Hier umzusteuern fällt vielen Verwal- 
tungen - wie auch Privatunternehmen 
- natürlich schwer.” Viele hätten sich 
damit in „eine faktische Abhängigkeit 
zu bestimmten Anbietern manövriert”, 
was auch eine „gefühlte Abhängigkeit” 
sei. Die Handlungsspielräume seien je- 
doch „tatsächlich äußerst gering, gera- 
de wenn es um stabile und sichere Kom- 
munikation in Behördennetzen geht“. 
Deshalb müssten Alternativen stärker 
beachtet und unterstützt werden, was 
auch die Ausbildung betreffe (Schulzki- 
Haddouti, Landes-Datenschutzaufsicht: 
Microsoft muss Datenübertragung in 
Windows 10 abschalten, www.heise.de 
23.03.2018; siehe auch den BBA 2018 
für Windows 10, S. 95). 


Bayern 


BND-Funkanlage in Münch- 
ner Frauenkirche wird ab- 
gebaut 


Im Nordturm der Frauenkirche in 
München hatte der für die Auslandsauf- 
klärung zuständige Bundesnachrich- 
tendienst (BND) einen „Repeater“ ver- 
baut. Am 23.03.2018 teilte der BND mit, 
er werde seine Technik noch vor Ostern 
aus dem Liebfrauendom entfernen. Das 
habe man den zuständigen Stellen im 
Erzbistum München und Freising ange- 
boten. Der im 98,57 Meter hohen Turm 
verbaute Repeater, eine Anlage zur Ver- 
stärkung von Funksignalen, sei schon 
seit 2011 nicht mehr genutzt worden. 
Laut Erzbischöflichem Ordinariat traf 
sich der Hausherr der Frauenkirche, 
Domdekan Lorenz Wolf, an diesem Tagq 
mit einem BND-Vertreter. Wolf sprach 
im Anschluss von einem „einvernehm- 
lichen Gespräch”, in dem der BND zu- 
gesichert habe, die umstrittene Anlage 
abzubauen. Nachdem die Technik eine 
Woche zuvor bekannt geworden war, 
hatte Wolf erklärt: „Abhörtechnik wür- 
den wir im Domturm nicht dulden”. 
Laut BND diente die Anlage aber allein 
der internen Kommunikation: Sie habe 
die Reichweite von vom BND genutzten 
Funkstrecken erhöht. „Zu keiner Zeit 
war die Anlage geeignet, fremde Funk- 
verkehre abzuhören”. Laut Ordinariat 
ist weiterhin unklar, wann die Anlage 
installiert wurde; dies müsse vor 1989 


geschehen sein. Klar sei aber, dass der 
BND dafür kein Geld an die Kirche ge- 
zahlt habe. Das einzige, was erkannt 
wurde, ist, dass Mitarbeiter des Geheim- 
dienstes regelmäßig zur Wartung vor- 
beischauten (Wetzel, Wie kam die BND- 
Funkanlage in den Dom?, Stroh/Wetzel, 
BND baut Funkanlage in Frauenkirche 
ab, SZ 24./25.03.2018, 8, 46). 


Saarland 


Fristlose Kündigung wegen 
fremdnützigem Daten- 
schutzverstoß? 


Am 09.03.2018 fand ein Arbeitsge- 
richtstermin in Saarbrücken statt, bei 
dem es um die fristlose Kündigung ei- 
ner Altenpflege-Expertin ging. Diese 
hatte bis 2017 die Fachschule bei den 
Saarländischen Heilstätten (SHG) ge- 
leitet. Gekündigt wurde ihr, weil sie 
zusammen mit einer Kollegin einen von 
der Geschäftsführung offenkundig hoch 
geschätzten Lehrbeauftragten als Hoch- 
stapler entlarvt hatte. Die SHG recht- 
fertigt dies mit dem Argument, dass 
sie gegen Datenschutzregeln versto- 
ßen und kein Recht gehabt habe, ohne 
Wissen und Einwilligung der Geschäfts- 
führung einen Kollegen zu überprüfen. 
Ihr Anwalt Klaus-Eckhard Walker hält 
dagegen, seine Mandantin habe die SHG 
schützen wollen. 

Andere Arbeitgeber hätten sich wo- 
möglich bei Frau B. bedankt. Die SHG 
hingegen will sie loswerden, auch zum 
Leidwesen etlicher ihrer KollegInnen. 
Gut ein Dutzend von ihnen waren zu der 
Verhandlung gekommen. Sie alle kann- 
ten den Mann, Edgar S., der beste poli- 
tische Verbindungen im Saarland hatte. 
Ersaß im SPD-Landesvorstand und zähl- 
te CDU-Politiker zu seinen Freunden, 
darunter ganz offensichtlich auch Mit- 
glieder der SHG-Chefetage. Fachlich war 
Edgar S. wenig sattelfest. Es kursierten 
viele Gerüchte im Haus. Frau B., die als 
Schulleiterin Zugang zu einer Mappe 
mit Qualifikationsnachweisen der Do- 
zenten hatte, überprüfte zusammen mit 
einer Mitarbeiterin, ob die Zeugnisse 
des Mannes echt sein könnten. Sie wa- 
ren es allesamt nicht. Der Ex-Dozent 
hatte gelogen und seine Zeugnisse bis 
hin zu einer Lehrgenehmigung der ka- 
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tholischen Kirche allesamt gefälscht. 
Edgar S. musste die SHG verlassen, er 
wurde auch angezeigt. Das Verfahren 
wegen Urkundenfälschung und Titel- 
missbrauch wurde gegen eine Zahlung 
von 5.000 Euro Strafe mittlerweile ein- 
gestellt. 

Es stellt sich die Frage, weshalb die 
SHG sich von Frau B. und auch von ihrer 
Mitarbeiterin unbedingt trennen möch- 
te. Eine gütliche Einigung kam 2017 
nicht zustande. Schon damals hatte das 
Gericht erhebliche Zweifel an der Recht- 
mäßigkeit einer fristlosen Kündigung 
geäußert. Richter Arne Misol bestätigte 
beim Verhandlungstermin diese Bewer- 
tung: „Ich habe erhebliche Bedenken, 
ob das Prinzip der Verhältnismäßigkeit 
gewahrt wurde.” Die SHG-Führung hätte 
mildere Mittel gehabt, um einen daten- 
schutzrechtlich fragwürdigen Umgang 
der beiden Frauen mit Kollegen-Do- 
kumenten zu maßregeln: ein strenges 
Gespräch, vielleicht eine Abmahnung. 
Damit hätte Frau B. leben können. Eine 
Kündigung aber will sie nicht hinneh- 
men, eine fristlose schon gar nicht. Für 
ein Urteil fordert Richter Misol von der 
SHG.noch weitere Unterlagen an. 

Nach den klaren Worten des Vorsitzen- 
den zum Aspekt der Verhältnismäßig- 
keit lenkten die Heilstätten, ein großer 
und renommierter Betrieb im Saarland, 
nun zumindest ein wenig ein. Man sei 
mittlerweile bereit, eine gütliche Eini- 
gung zu suchen. Die Klägerin will aber 
auch keine ordentliche Kündigung ak- 
zeptieren, sie möchte zumindest einen 
Auflösungsvertrag und einen Ausgleich 
für das entgangene Gehalt und ihre 
Anwaltskosten. Ihr Wunsch, die ganze 
Angelegenheit alsbald zu den Akten zu 
legen, bleibt so vorerst unerfüllt. 

Warum sich ihre früheren Chefs, von 
denen sie vor den leidigen Vorkomm- 
nissen noch 2017 ein exzellentes Zwi- 
schenzeugnis erhalten hatte, auf ein- 
mal so sehr gegen sie stellten, kann 
sie sich, wie sie sagt, bis heute nicht 
erklären. Andere hingegen können das 
schon: Die beiden Frauen hätten mit der 
Enttarnung des Hochstaplers die SHG- 
Führung blamiert und dortige fragwür- 
dige Amigo-Strukturen offengelegt, 
mutmaßen KollegInnen aus den Heil- 
stätten, die allesamt unter der Affäre 
leiden. Der Arbeitsgerichtstermin der 
Mitarbeiterin von Elke B., der ebenfalls 
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fristlos gekündigt wurde, steht noch 
an (Höll, Zum Dank die Kündigung, SZ 
10./11.03.2018, 10). 


Sachsen 


Im Polizeirecht auf bayeri- 
schem Kurs 


Wie in vielen anderen Bundesländern 
(dazu Schwerpunkt DANA 1/2018) hat 
auch die sächsische Regierung eine 
Reform des Polizeigesetzes auf den 
Weg gebracht, wonach die Videoüber- 
wachung deutlich verschärft und zur 
Straftatenverhütung ein ganzes Bündel 
neuer und erweiterter Befugnisse ge- 
schaffen werden soll. Ähnlich zu Bayern 
soll auch im benachbarten sächsischen 
„Freistaat“ die Polizeiarbeit weiter ins 
Vorfeld verlagert werden. Um Straftaten 
zu vereiteln, plant das dortige Innen- 
ministerium „ein ganzes Bündel neuer 
oder erweiterter” Kompetenzen für die 
Ermittler. April 2018 wurde die Geset- 
zesreform auf den Weg gebracht, um 
das Polizeirecht umfassend zu moder- 
nisieren und an „aktuelle Erfordernisse 
für mehr Sicherheit” anzupassen. So soll 
der Polizei „präventive Telekommunika- 
tionsüberwachung” erlaubt werden. 

Generell geht es der schwarz-roten 
Regierung in Dresden nach eigenen 
Angaben um bessere „Maßnahmen zur 
Abwehr terroristischer Gefahren so- 
wie zur Bekämpfung organisierter und 
auch grenzüberschreitender Krimina- 
lität”. Dazu gehörten „breitere Obser- 
vationsmöglichkeiten, neue Durchsu- 
chungsbefugnisse sowie strafbewehrte 
Aufenthaltsanordnungen und Kontakt- 
verbote”“. Die Videoüberwachung soll 
deutlich verschärft werden, vor allem 
„auf Verkehrsrouten, die der grenzüber- 
schreitenden Kriminalität zur Verschie- 
bung von Diebesgut oder als Tatorte des 
Menschenhandels dienen“. 

Die Polizei soll künftig innerhalb ei- 
nes 30-Kilometer-Korridors entlang der 
Grenzen zu Polen und Tschechien ver- 
suchen, Schwerverbrecher anhand der 
Videoaufnahmen mithilfe von Software 
zur automatisierten biometrischen Ge- 
sichtserkennung ausfindig zu machen. 
Um schwerste Straftaten zu verhindern, 
soll die Polizei Handy-Verbindungen un- 
terbrechen dürfen. Für eine bessere Ter- 


rorabwehr will die Regierung die Polizei 
stärker bewaffnen. Spezialeinheiten 
sollen, so Innenminister Roland Wöller 
(CDU), in besonderen Einsatzsituati- 
onen über Waffen „mit erforderlicher 
Reichweite und hoher Durchschlags- 
kraft wie etwa Maschinengewehre oder 
Handgranaten” verfügen. 

Keine Einigung besteht in der großen 
Koalition bei der Quellen-Telekommu- 
nikationsüberwachung (Quellen-TKÜ) 
und bei heimlichen Online-Durchsu- 
chungen. Die CDU befürwortet demnach 
den Einsatz von Staatstrojanern, um 
verschlüsselte Messenger-Kommunika- 
tion etwa über WhatsApp abhören und 
IT-Geräte ausforschen zu können. Die 
SPD sei jedoch dagegen, obwohl sie auf 
Bundesebene der Polizei bereits 2017 
solche Kompetenzen selbst zur Verfol- 
gung von Alltagskriminalität erlaubte. 
Umstritten ist auch noch, ob PolizistIn- 
nen in Sachsen mit Bodycams ausgerüs- 
tet werden. 

Das Gesetzespaket muss den sächsi- 
schen Landtag passieren. Die Oppositi- 
on hat bereits Widerstand angekündigt. 
Der Innenexperte der Linken, Enrico 
Stange, beklagte, dass unter dem Vor- 
wand der Terrorismusbekämpfung „tiefe 
Eingriffe in die Grundrechte deutlich er- 
leichtert und die sächsische Polizei wei- 
ter militarisiert“ würden. Einen „Fron- 
talangriff auf die Bürgerrechte“ sah sein 
grüner Kollege Valentin Lippmann in der 
Initiative (Krempl, Sachsen: Polizei soll 
mit Gesichtserkennung und präventiver 
Überwachung Verbrecher jagen, www. 
heise.de 21.04.2018). 


Sachsen-Anhalt 


Leopold als Datenschutzbe- 
auftragter nicht gewählt 


Seit 2005 ist Harald von Bose Lan- 
desbeauftragter für Datenschutz in 
Sachsen-Anhalt. Bei der Wahl zu seiner 
Nachfolge fiel der von der Landesregie- 
rung vorgeschlagene Nils Leopold am 
08.03.2018 im Landtag in zwei Wahl- 
gängen und am 24.05.2018 ein drittes 
Mal durch. Der Vorschlag von CDU, SPD 
und Grünen verpasste jeweils die nötige 
Zwei-Drittel-Mehrheit. Nach einer Un- 
terbrechung teilte Landtagspräsidentin 
Gabriele Brakebusch (CDU) am ersten 
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Wahltag mit, die Wahl werde vertagt. 
Während Leopold im ersten Wahlgang 
auf 48 der 79 abgegebenen Stimmen 
kam, entfielen im zweiten Wahlgang 
noch 46 Stimmen auf ihn bei zwei Ent- 
haltungen und 31 Gegenstimmen. Beim 
dritten Wahlgang mehr als zwei Monate 
später erhielt Leopold in geheimer Ab- 
stimmung erneut 48 der 83 Stimmen, 56 
Stimmen hätte er gebraucht. 

Nach dem ersten Wahltag vermittelte 
der Linken-Fraktionschef Thomas Lipp- 
mann den Eindruck, die Nicht-Wahl von 
Leopold sei darauf zurückzuführen, 
dass sich die Koalition nicht einig sei. 
CDU-Fraktionschef Siegfried Borgwardt 
echauffierte sich daraufhin gegenüber 
den Linken, die Situation sei beispiel- 
los: „Die Legendenbildung ist nicht 
mehr erträglich“. Man lasse sich als 
Koalition nicht zum Sündenbock ma- 
chen. Der Grünen-Abgeordnete Sebas- 
tian Striegel erklärte, in Leopold stehe 
ein „fachlich profilierter und höchst 
erfahrener Kandidat” zur Wahl: „Das ist 
ein schlechter Tag für den Datenschutz 
und die Digitalisierung”. Es sei proble- 
matisch, dass ein so wichtiges Amt nur 
kommissarisch besetzt sei. „Der Wahl 
standen offensichtlich keine inhaltli- 
chen Bedenken entgegen”. Gemäß der 
Linken-Abgeordneten Henriette Quade 
hatte sie als fachpolitische Sprecherin 
ihrer Fraktion empfohlen, Nils Leopold 
zu wählen. Sie habe von niemandem 
gehört, der das anders gesehen hätte. 
Am 23.05.2018 hatten dann die Frakti- 
onschefs von CDU, SPD und Grünen so- 


wie der Linken angekündigt, Leopold zu 
unterstützen. 

Teile der Grünen sahen schon im ers- 
ten Wahlgang den Nachweis fehlender 
Regierungsfähigkeit der Koalition. Aus 
Kreisen der Regierungsfraktionen heißt 
es, Ministerpräsident Reiner Haseloff 
(CDU) habe Leopold eine Woche vor dem 
dritten Wahlgang persönlich angerufen, 
um ihm mitzuteilen, er seisein Kandidat 
und brauche sich deshalb keine Sorgen 
zu machen. Die Fraktionen warfen sich 
nach der Wahl gegenseitig vor, den je- 
weils anderen ausgetrickst zu haben. 
Nach dem dritten Scheitern zeigten sich 
die Grünen schockiert über die Wahl- 
niederlage. Fraktionschefin Cornelia 
Lüddemann meinte: „Das ist mehr als 
ein bitterer Tag für Sachsen-Anhalt. Der 
Ministerpräsident muss schauen, wie 
wir aus diesem Chaos wieder rauskom- 
men.” Einige Grüne in Sachsen-Anhalt 
forderten bereits den Rücktritt des Re- 
gierungschefs. 

Die Landesregierung hatte Leopold 
Anfang März für das Amt vorgeschla- 
gen. Im Vorfeld der Abstimmung war 
der 49jährige Jurist Leopold fraktions- 
übergreifend als Fachmann gepriesen 
worden. Er hat unter anderem mehrere 
Jahre für den grünen Bundestagsabge- 
ordneten Konstantin von Notz gearbei- 
tet. Von Notz gilt als Experte für Netz- 
weltthemen und Datenschutz. Unter 
anderem hatte er den NSA-Ausschuss 
im Bundestag begleitet, der den Ab- 
hörskandal um den US-Geheimdienst 
aufklären sollte. 


Datenschutznachrichten aus dem Ausland 


EU 


Jelinek Vorsitzende des 
Europäischen Datenschutz- 
ausschusses 


Mit dem Inkrafttreten der EU-Daten- 
schutz-Grundverordnung (DSGVO) am 
25.05.2018 überwacht der Europäische 
Datenschutzausschuss (EDSA) europa- 
weit deren Einhaltung und koordiniert 
die Tätigkeit der unabhängigen Auf- 
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sichtsbehörden der 28 EU-Mitglieds- 
staaten. Anfang Februar 2018 wurde 
Andrea Jelinek zur Vorsitzenden dieses 
Gremiums gewählt. Jelinek hat sich 
gegen ihren Kollegen aus Bulgarien 
durchgesetzt, der einer ihrer Vertreter 
wird, und löst die Französin Isabelle 
Falque-Pierrotin ab. Das Mandat der 
neuen obersten EU-Datenschützerin 
läuft fünf Jahre, danach könnte Jelinek 
einmal wiedergewählt werden. Der EDSA 
soll sich elf Mal jährlich treffen. Er prüft 
die Kohärenz der Entscheidungen der 


Vor seiner Arbeit bei den Grünen ar- 
beitete Leopold als Rechtsanwalt in 
Berlin, war Bundesgeschäftsführer der 
Humanistischen Union für Bürgerrech- 
te und leitete zwei Jahre lang das Auf- 
sichtsreferat beim Unabhängigen Lan- 
deszentrum für Datenschutz Schleswig- 
Holstein (ULD). CDU, SPD und Grüne 
hatten sich aber lange nicht auf einen 
gemeinsamen Nachfolger einigen kön- 
nen. Von Bose hatte eigentlich bereits 
im Frühjahr 2017 abgelöst werden sol- 
len. Gemäß der Regelung im Land darf 
der LfD jeweils für sechs Jahre maximal 
zweimal gewählt werden. Eine drit- 
te Amtszeit ist nicht vorgesehen. Das 
Gesetz fordert eine Mehrheit von zwei 
Dritteln der abstimmenden Abgeordne- 
ten, mindestens aber der Mehrheit der 
Mitglieder. 

Unterdessen wurde Birgit Neumann- 
Becker am 08.03.2018 als Landesbeauf- 
tragte zur Aufarbeitung der SED-Dikta- 
tur wiedergewählt. Für sie stimmten 59 
Abgeordnete, 21 Parlamentarier waren 
gegen Neumann-Becker (Leopold fällt 
erneut durch, www.volksstimme.de 
24.05.2018; Lehman, Regierungskrise 
in Sachsen-Anhalt „Wir brauchen jetzt 
erst mal eine Denkpause”, www.spiegel. 
de 24.05.2018; Leopold als neuer Da- 
tenschützer durchgefallen, www.mdr.de 
08.03.2018; Fehlende Unterstützung, 
Landtag bricht Wahl des Datenschützers 
ab, www.mz-web.de 08.03.2018; Neu- 
er Mann für Datenschutz, Volksstimme 
Sachsen-Anhalt 25.01.2018, 2). 


Aufsichtsbehörden und kann diese ge- 
gebenenfalls auch revidieren. 

Die 57-jährige Juristin steht seit 2014 
an der Spitze der österreichischen Da- 
tenschutzbehörde. Jelinek ist Mutter 
einer erwachsenen Tochter, fährt gern 
Ski und hat eine Vorliebe für das Thea- 
ter. Während des Studiums war sie Re- 
ferentin des Fonds zur Förderung der 
wissenschaftlichen Forschung und ab 
1991 im Generalsekretariat der Öster- 
reichischen Rektorenkonferenz. 1993 
wechselte sie ins Innenministerium, 
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2003 wurde sie unter Innenminister 
Ernst Strasser erste „Stadthauptfrau” 
in Wien-Landstraße. 2007 wurde sie als 
Anwärterin für die Nachfolge des da- 
maligen Polizeipräsidenten Peter Stiedl 
gehandelt (und 2017 für den Posten ei- 
ner Vizepräsidentin). 2010 übernahm 
die streitbare Expertin für Asyl- und 
Fremdenrecht die Leitung der Wiener 
Fremdenpolizei. 2014 wechselte sie in 
die Datenschutzbehörde, welche die 
ehemalige Datenschutzkommission im 
Bundeskanzleramt ersetzte. Die Stel- 
le ist für Registrierungen zuständig, 
entscheidet über Datentransfers ins 
Ausland und genehmigt Datenverwen- 
dung für wissenschaftliche Zwecke. 
Österreich und Deutschland waren zum 
Zeitpunkt der Wahl Jelineks noch die 
einzigen EU-Länder, welche die DSGVO 
gesetzlich umgesetzt hatten (Graf, An- 
drea Jelinek ist „Mrs. Datenschutz“, 
www.nachrichten.at 24.02.2018). 


EU 


Konservative wollen 
vorerst keine Datenschutz- 
sanktionen 


Europaabgeordnete von CDU und CSU 
haben sich dafür ausgesprochen, Ver- 
stöße gegen die neue europäische Da- 
tenschutz-Grundverordnung (DSGVO) 
vorerst nicht mit Sanktionen zu ahnden. 
Grund seien die schleppenden Vorberei- 
tungen in den Mitgliedstaaten auf die 
ab Mai geltenden Regeln. Die EU-Kom- 
mission teilte Ende März 2018 mit, dass 
mit Deutschland und Österreich bisher 
nur zwei der 28 Länder die nötigen Ge- 
setze beschlossen hätten. Der rechts- 
politische Sprecher der EVP-Fraktion im 
EU-Parlament, Axel Voss (CDU), plädier- 
te vor diesem Hintergrund für einen vor- 
läufigen Sanktionsverzicht: „Der Termin 
des Inkrafttretens (der DSGVO) sollte 
gehalten werden, von der sanktionsbe- 
währten Anwendung aber vielleicht ein 
weiteres halbes Jahr großzügig abgese- 
hen werden”, da die gegenwärtige Situ- 
ation „sehr unbefriedigend” sei. 

Dies gelte vor allem, weil 26 EU-Länder 
ihr nationales Recht an die Neuerungen 
noch nicht angepasst haben. Der CDU- 
Politiker kann zwar nachvollziehen, 
dass die notwendigen Anpassungen 


der administrativen und geschäftlichen 
Abläufe nicht einfach seien und Zeit 
bräuchten. „Doch kann es nicht sein, 
dass Deutschland und Österreich für 
eine fristgerechte Vorbereitung Wettbe- 
werbsnachteile gegenüber den anderen 
Mitgliedsstaaten erleiden.” Für einen 
Sanktionsverzicht zeigte sich auch die 
CSU-Europapolitikerin Angelika Nieb- 
ler, Co-Chefin der CDU/CSU-Gruppe im 
EU-Parlament, offen. Sie gehe davon 
aus, dass die Datenschutzbehörden „im 
Rahmen ihrer Kompetenzen berück- 
sichtigen, dass es bei der Anwendung 
der neuen Regelungen eine Anlauf- 
phase braucht”. Zugleich plädierte sie 
dafür, die neuen Regeln notfalls noch 
einmal auf den Prüfstand zu stellen: 
„Sollte sich tatsächlich abzeichnen, 
dass die Anwendung der neuen Regeln 
zögerlich erfolgt, werden wir die Kom- 
mission zur Evaluation auffordern und 
erforderlichenfalls weitere Schritte 
vorzuschlagen.” Denn: „Sinn macht die 
neue Datenschutzverordnung nur, wenn 
sie in allen Mitgliedstaaten angewendet 
wird.” 

In ein ähnliches Horn stießen deut- 
sche Bundestagsabgeordnete eine 
Woche vor dem Inkrafttreten der DS- 
GVO anlässlich eines vertraulichen 
Gesprächs von Mitgliedern der Frakti- 
onsspitze mit Vertretern des Bundes- 
innenministeriums. Kleine Firmen und 
Freiberufler könnten bei Verstößen 
von Abmahnvereinen und -anwälten 
zur Kasse gebeten werden. Vizefrakti- 
onschef Ralph Brinkhaus meinte, die 
Regelung fördere die Demokratiever- 
drossenheit und spiele der AfD in die 
Hände. Kollege Carsten Linnemann 
mahnte, wenn die Bundesregierung 
nichts gegen die Folgen der DSGVO un- 
ternehme, brauche sie künftig nicht 
mehr über Bürokratieabbau zu spre- 
chen. Die Fraktionsführung will die 
Regierung dazu bewegen, kurzfristig 
ein Eckpunktepapier zu verabschie- 
den, das die Praktiken unseriöser Ab- 
mahnvereine untersagt. Ein Gesetz soll 
so schnell wie möglich auf den Weg 
gebracht werden, wobei das Innenmi- 
nisterium beauftragt wurde zu prüfen, 
ob die Regeln auch rückwirkend an- 
gewandt werden können. Unzustän- 
digkeitshalber erklärte auch die Eu- 
ropäische Kommission, dass nach Ein- 
führung der neuen Datenschutzregeln 


nicht sofort mit voller Härte durch- 
gegriffen werde. Die EU-Kommissarin 
Vera Jourova erklärte am 15.05.2018, 
Europas Datenschutzbehörden würden 
in den ersten ein bis zwei Jahren sicher 
keine „Strafmaschinen”. 

Der Grünen-Europaabgeordnete Jan 
Philipp Albrecht sah und sieht dagegen 
keinen Spielraum mehr für zeitliche 
Aufschübe, da der Anwendungszeit- 
punkt durch den Gesetzgeber EU-Parla- 
ment und Rat im Gesetz festgeschrieben 
worden sei. „Die Kommission hat darauf 
keinerlei Einfluss mehr. Es ist wirklich 
klar: Wer am 25. Mai nicht rechtskon- 
form sein wird, muss mit Konsequenzen 
rechnen“ (EU-Datenschutz-Grundver- 
ordnung: Rufe nach Sanktionsverzicht, 
www.finanznachrichten.de 14.03.2018; 
Aufstand in der Union, Der Spiegel 
Nr. 21 19.05.2018, 21; Schonfrist bei 
EU-Datenregeln, SZ 16.05.2018, 5). 


EU 


5. Geldwäsche-Richtlinie 
vom EU-Parlament be- 
schlossen 


Das EU-Parlament hat am 19.04.2018 
mit 574 zu 13 Stimmen bei 60 Enthal- 
tungen eine neue Richtlinie gegen Geld- 
wäsche und Terrorismusfinanzierung 
beschlossen, mit der Blockchain-Wäh- 
rungen aus der „Anonymität“ geholt 
werden sollen. Finanzinstitute müssen 
Transaktionen jahrelang aufbewahren. 
Mit der 5. Richtlinie zur Bekämpfung 
von Geldwäsche und Terrorismusfinan- 
zierung werden künftig auch die Be- 
treiber von Wechselstuben für virtuelle 
Währungen wie Bitcoin, Ethereum oder 
Ripple sowie Anbieter elektronischer 
Geldbörsen erfasst und reguliert, so 
dass auch diese ihre KundInnen im Rah- 
men der „üblichen Sorgfaltspflichten” 
für Finanzhäuser kontrollieren müssen. 

Umtausch-Plattformen für Kryp- 
towährungen müssen demnach die 
Identität der Nutzenden sowie deren 
Wallet-Adressen in einer zentralen Da- 
tenbank speichern. Sie müssen es er- 
möglichen, dass Details über den Ein- 
satz der Zahlungssysteme durch Selbst- 
angaben der Nutzenden aufgezeichnet 
werden können. So soll die angebliche 
Anonymität virtueller Währungen und 
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das damit verbundene „Missbrauchspo- 
tenzial für kriminelle Zwecke” reduziert 
werden. Zahlungen mit Bitcoin und die 
beteiligten Transaktionspartner las- 
sen sich prinzipiell mit etwas Aufwand 
nachverfolgen. 

Finanzinstitute müssen generell Bele- 
ge zu sämtlichen Transaktionen fünf bis 
maximal zehn Jahre „nach Beendigung 
der Geschäftsbeziehung“ aufbewah- 
ren. Da vor allem Bankkonten oft jahr- 
zehntelang geführt werden, kann sich 
eine im Einzelfall nicht vorhersehbare 
Archivfrist ergeben. Im Idealfall sollen 
alle betroffenen Einrichtungen zudem 
ihre KundInnen identifizieren und die 
Daten genausolang vorhalten wie die 
Transaktionsbelege. 

Die Verpflichteten müssen künftig 
ihre gesammelten Nutzerinformatio- 
nen über eine zentrale Analysestelle in 
Form der „Financial Intelligence Unit” 
(FIU) zum Abruf bereitstellen. Der An- 
wendungsbereich der Richtlinie bleibt 
dabeirecht vage. Alle Straftaten, die mit 
einer Höchststrafe von über einem Jahr 
belegt sind, können als Vortaten zur 
Geldwäsche eingestuft werden, so dass 
selbst einfache Delikte wie üble Nachre- 
de grundsätzlich erfasst werden. 

Anonyme Zahlungen über Prepaid- 
Karten werden eingeschränkt. Der bis- 
herige europäische Schwellenbetrag 
von 250 Euro, für den keine Identitäts- 
angabe nötig war, wird auf 150 Euro 
gesenkt. In Deutschland gilt schon ein 
Limit von 100 Euro. Auch bei Guthaben- 
karten sollen künftig strengere Aufla- 
gen zur Überprüfung von KundInnen 
gelten. Das EU-Parlament hat zudem 
jüngst dafür plädiert, dass nur noch 
Geld von „identifizierbaren persönli- 
chen” Konten auf Debit-Karten einge- 
zahlt werden können. 

Die Rechtswissenschaftlerin Carolin 
Kaiser hatte den im Dezember 2017 zwi- 
schen Abgeordneten und Regierungs- 
vertretern der Mitgliedsstaaten ausge- 
handelten Kompromiss scharf kritisiert, 
da damit eine unverhältnismäßige 
Vorratsdatenspeicherung einhergehe, 
umfangreiche Persönlichkeitsprofile 
erstellt werden können und so die Pri- 
vatsphäre „praktisch wegfällt“. Der Zah- 
lungsverkehr drohe „fast vollständig 
überwacht” zu werden. Der EU-Daten- 
schutzbeauftragte Giovanni Buttarelli 
hatte im Gesetzgebungsverfahren eben- 
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falls Einwände erhoben, da das Zweck- 
bindungsprinzip nicht hinreichend be- 
achtet werde. 

Die 5. Geldwäsche-Richtlinie tritt 
drei Tage nach ihrer Veröffentlichung 
im EU-Amtsblatt in Kraft. Die Mitglied- 
staaten haben dann 18 Monate Zeit, um 
die neuen Vorschriften in nationales 
Recht umzusetzen. Nur für einige der 
Bestimmungen gelten längere Über- 
gangsfristen (Krempl, Geldwäsche: EU- 
Parlament beschließt schärfere Regeln 
für Kryptowährungen und Vorratsspei- 
cherung von Finanzdaten, www.heise. 
de 19.04.2018). 


EU 


Zweiter Versuch von 
Facebook mit Gesichtser- 
kennung 


Rund fünf Jahre nach dem ersten ge- 
scheiterten Versuch versucht Facebook 
erneut, seine Gesichtserkennung in Eu- 
ropa wieder einzuführen. Die Nutzenden 
sollen selbst entscheiden können, ob sie 
die Funktion aktivieren oder nicht. Die 
Funktion war bisher aus Datenschutz- 
gründen in Ländern der EU nicht ver- 
fügbar. 

In einem Blogbeitrag teilte das Un- 
ternehmen am 28.02.2018 mit, dass zu- 
nächst einige Nutzende in Europa aus- 
gewählt werden, um die Gesichtserken- 
nung zu testen: „Wir fragen zunächst 
nur einen kleinen Prozentsatz von Men- 
schen, damit wir sicher gehen können, 
dass alles ordentlich funktioniert.” Mit 
der Funktion sollen sich künftig Be- 
trugsversuche besser erkennen lassen. 
So würden Nutzende benachrichtigt, 
wenn ein Betrüger ein fremdes Foto 
als sein Profilfoto benutzt. Die Nutzen- 
den werden auch von Facebook dar- 
auf hingewiesen, wenn sie unmarkiert 
auf einem Foto auftauchen, mit des- 
sen Veröffentlichung sie vielleicht gar 
nicht einverstanden sind: „Sie können 
wählen, ob Sie sich selbst taggen, sich 
unmarkiert lassen oder sich an die Per- 
son wenden, die das Foto gepostet hat, 
wenn Sie Bedenken haben.” 

Von der Gesichtserkennung sollen 
auch Menschen mit Sehbehinderung 
profitieren. Ein Algorithmus verknüpft 
Namen mit den Personen, die auf dem 


Foto abgebildet sind, und liest dem 
Nutzenden bei Bedarf vor, wer auf dem 
Foto zu sehen ist. Die Einführung der 
von Datenschützern kritisierten Funk- 
tion erfolgt im Zusammenhang mit dem 
Wirksamwerden der EU-Datenschutz- 
Grundverordnung. In der Ankündigung 
verspricht Facebook den Nutzenden 
mehr Kontrolle über Privatsphäre-Ein- 
stellungen. Die Aktivierung sei freiwil- 
lig, werde den Nutzenden vorgeschla- 
gen und müsse aktiv eingeschaltet wer- 
den. Wenn diese nichts unternehmen 
oder den Vorschlag ablehnen, bleibe die 
Gesichtserkennung ausgeschaltet. 

Die Opt-In-Funktion war auch die Vo- 
raussetzung der Gesichtserkennungs- 
Gegner, die den ersten Vorstoß in Europa 
verhindert hatten. Im Jahr 2012/2013 
scheiterte das soziale Netzwerk mit dem 
Versuch, die Gesichter der Mitglieder 
zu scannen. Datenschützer kritisier- 
ten damals die Tests und zwangen Fa- 
cebook dazu, das Angebot für Europa 
nicht anzubieten (vgl. DANA 2014, 82). 
Anderenfalls würde ein neues Verfahren 
eingeleitet. Der US-Konzern sichert nun 
zu, in Zukunft datenschutzrechtliche 
Vorgaben zu erfüllen. 

Die Gesichtserkennung ist nur eine 
Funktion, die getestet werden soll. In 
einem zweiten Test werden Facebook- 
Anwendende gefragt, ob sie Informatio- 
nen aus dem persönlichen Profil zu per- 
sönlichen Interessen sowie politischen 
und religiösen Orientierungen tatsäch- 
lich mit der Öffentlichkeit teilen wollen. 
Facebook fragt auch diejenigen, die bis- 
lang auf solche Angaben verzichtet ha- 
ben, ob sie diese nicht ausfüllen wollen 
(Facebook testet Gesichtserkennung in 
Europa, www.spiegel.de 01.03.2018; Fa- 
cebook testet Gesichtserkennung auch 
in Europa, www.heise.de 01.03.2018). 


Schengen 


Mehr verdeckte 
Fahndungen 


Die Zahl der europaweiten Fahndun- 
gen ist in den vergangenen zwei Jah- 
ren um fast die Hälfte gestiegen. Am 
01.01.2018 verzeichnete das Schenge- 
ner Informationssystem (SIS) mehr als 
129.000 zur „verdeckten oder gezielten 
Kontrolle“ ausgeschriebene Personen 
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gegenüber gut 89.000 Personen zum 
01.10.2016. Das SIS basiert auf den Da- 
ten von knapp 30 Polizeidatenbanken 
in Europa. Jedes Land kann Personen 
zur verdeckten Fahndung ausschrei- 
ben. Werden diese in einem Land re- 
gistriert, so wird die ausschreibende 
Behörde informiert, ohne dass der 
Betroffene unterrichtet werden muss. 
Andrej Hunko, auf dessen Anfrage die 
Bundesregierung die Zahlen mitteilte, 
kommentierte: „Mit dem Phänomen des 
islamistischen Terrorismus sind die ge- 
stiegenen Ausschreibungen nicht zu er- 
klären. Europol meldet eine vierstellige 
Zahl ausländischer Kämpfer; die in 2017 
hinzugekommenen Ausschreibungen 
betragen aber in etwa das Achtfache.” 
Es müsse geklärt werden, warum immer 
mehr Menschen heimlich verfolgt wer- 
den (Der Spiegel 9/2018, 13). 


UN 


Vorschlag für internationa- 
le Datenzugriffsbehörde 


Der UN-Beauftragte für Datenschutz 
bringt eine „Internationale Daten- 
zugriffsbehörde* mit unabhängigen 
Richtern ins Spiel, die über grenzüber- 
schreitende Anfragen von Sicherheits- 
behörden entscheiden soll. Während der 
Supreme Court der USA über der Frage 
brütete, ob Microsoft verpflichtet wer- 
den kann, der US-Regierung Daten aus 
anderen Staaten auszuliefern, und die 
EU-Kommission an Normen zur grenz- 
überschreitenden „digitalen Beweis- 
sicherung” arbeitet, liegt nun auf der 
Ebene der Vereinten Nationen (United 
Nations - UN) ein Kompromisspapier auf 
dem Tisch, in dem der UN-Sonderbeauf- 
tragte für Datenschutz Joseph Canna- 
taci einen „kosteneffektiven und pri- 
vatsphärenfreundlichen Mechanismus” 
vorschlägt, über den Staaten zur Verfol- 
gung schwerer Straftaten einschließlich 
Terrorismus Zugang zu persönlichen 
Daten in fremden Territorien erlangen 
könnten. 

Kern der Initiative des maltesischen 
Rechtsprofessors ist eine „Internatio- 
nale Datenzugriffsbehörde”“, die über 
grenzüberschreitende Anfragen von Si- 
cherheitsbehörden aus den beteiligten 
Staaten entscheiden und gegebenen- 
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falls einen entsprechenden Beschluss in 
Form eines „International Data Access 
Warrant” (IDAW) ausstellen soll. We- 
sentliche Komponente der Einrichtung 
ist laut dem Papier eine gerichtsähnli- 
che Kammer mit drei bis fünf unabhän- 
gigen Richtern, die von den Vertrags- 
parteien entsandt werden. Ihr zur Seite 
stehen soll ein Internationales Komitee 
von Menschenrechtsverteidigern, wie 
es der US-Kongress ähnlich bei dem ge- 
heim tagenden Überwachungsgericht 
FISC eingeführt hat. 

Eine Berufungsinstanz in Form eines 
speziellen Tribunals ist ebenfalls vor- 
gesehen. Ziel ist es, ein angemessenes 
Rahmenwerk für grenzüberschreiten- 
de Datenzugriffe zu etablieren, das 
der Rechtsstaatlichkeit verpflichtet ist 
und mit internationalen Menschen- 
rechtsprinzipien im Einklang steht. Die 
nationale Souveränität und Rechtspre- 
chung soll damit nicht unterlaufen, 
aber quasiin das internationale Rechts- 
institut ausgelagert werden, um sowohl 
zeitnah den praktischen Anforderungen 
von Ermittlern und Geheimdiensten wie 
der Rechtssicherheit zu genügen. 

Das Richterpanel werde online über 
abgesicherte Videokonferenzen sehr 
schnell und theoretisch rund um die 
Uhr über einen Antrag entscheiden 
können, heißt es in dem Mitte Februar 
2018 bei einer Expertenkonferenz auf 
Malta behandelten Vorschlag. Die Kam- 
mer werde ähnlich arbeiten wie erfolg- 
reich tätige Streitbeilegungsgremien im 
Rahmen etwa der Weltorganisation für 
geistiges Eigentum (WIPO) und in Fra- 
gen von Top Level Domains (TLDs). Das 
Verfahren soll Anfragen über bestehen- 
de gegenseitige Rechtshilfeabkommen 
ergänzen, die sich oft über Monate oder 
gar Jahre hinziehen. 

Der internationale Zugriffsbeschluss 
erleichtere es auch Unternehmen, mit 
Ersuchen nach Daten von ausländischen 
Sicherheitsbehörden umzugehen, wirbt 
Cannataci für das Konzept. Legten die- 
se einen IDAW vor, könnten die Firmen 
davon ausgehen, dass mit einer solchen 
Durchsuchungsanordnung die Grund- 
rechte der Betroffenen ausreichend ge- 
schützt würden und auch das Recht des 
Staates beachtet werde, in dem das Re- 
chenzentrum stehe. 

Insgesamt will der Sonderbeauftrag- 
te mit dem Vorhaben die staatliche 


Überwachung einhegen. Einschlägige 
bestehende und neue technische Sys- 
teme müssten eine „Menschenrechts- 
folgenabschätzung” durchlaufen, au- 
tomatisierte Scoring-Entscheidungen 
wie etwa bei No-Fly-Listen dürfte es 
nicht mehr geben. Staaten soll es zu- 
dem untersagt werden, Dienste- oder 
Hardwareanbieter dazu zu verdonnern, 
Sicherheitstechniken wie Verschlüsse- 
lung zu schwächen. 

Die EU-Kommission plant derweil eine 
eigene Gesetzesinitiative, mit der Straf- 
verfolger „elektronische Beweismittel” 
von Providern besser und länger sichern 
können sollen. Die Rede ist vor allem von 
Bestandsdaten wie Name und Anschrift 
oder möglicherweise Zugangskennun- 
gen und Passwörtern, aber voraussicht- 
lich geht es allgemein um den Zugriff auf 
Daten in der Cloud. Der EU-Rat hatte die 
Brüsseler Regierungsinstitution im Juni 
2016 aufgefordert, ein solches Instru- 
ment auf den Weg zu bringen. 

Gemäß Presseberichten neigt die 
Kommission dazu, auf einen Kurs ähn- 
lich dem der US-Regierung umzusteu- 
ern. Die Rede ist von einer Pflicht für 
Online-Anbieter mit einer Niederlas- 
sung in der EU, Daten ihrer Nutzenden 
auch dann auf Grundlage eines Ge- 
richtsbeschlusses herausgeben zu müs- 
sen, wenn diese in Drittstaaten gespei- 
chert sind. Bisher sollte es nur darum 
gehen, Ermittlern den Zugang zu Infor- 
mationen zu erleichtern, die in anderen 
EU-Ländern liegen. Vera Jourovä habe 
sich inzwischen aber der Ansicht von 
Strafverfolgern angeschlossen, dass die 
gängigen Mechanismen über Rechts- 
hilfeabkommen „sehr langsam und in- 
effizient” seien. Aus Brüsseler Kreisen 
war zu erfahren, dass sich die General- 
direktionen für Inneres und Justiz der 
Kommission noch über die Ausrichtung 
des Gesetzesvorschlags streiten. Ausge- 
macht seinoch nichts, ein Entwurfliege 
noch nicht auf dem Tisch. 

Im Microsoft-Fall hatte sich die EU- 
Kommission zögerlich auf die Seite 
des Software-Riesen geschlagen. EU- 
Parlamentarier kamen dagegen frak- 
tionsübergreifend zum Schluss, dass 
mit der Anerkennung des US-Durch- 
suchungsbefehls eine ganze Reihe 
internationaler Vereinbarungen über 
den Haufen geworfen und ein Verstoß 
gegen die Grundrechte der EU-Bürger 
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gutgeheißen würde. US-Datenschutz- 
aktivistInnen warnen vor einem globa- 
len „Freifahrtschein“ für alle nationalen 
Gerichtsbarkeiten. Sollte der Oberste 
Gerichtshof die Ansicht des US-Justiz- 
ministeriums teilen, könnte jedes auch 
noch so autoritäre Land mit einem na- 
tionalen Beschluss „überall auf der Welt 
gespeicherte Daten abfragen” (Krempl, 
Strafverfolgung in der Cloud: UN wollen 
grundrechtssichere Lösung zum inter- 
nationalen Datenzugriff, www.heise.de 
01.03.2018). 


Interpol 


Verbesserter Rechtsschutz 
für politisch Verfolgte 


Autoritäre Regime missbrauchen das 
weltweite Fahndungssystem Interpols, 
das seinen Sitz in Lyon/Frankreich hat, 
um politischer DissidentInnen auch im 
Ausland habhaft zu werden. Dies wird 
von Bürgerrechtsorganisationen seit 
Langem angeprangert. Bisher hat sich 
die internationale Polizeiorganisation 
stets gegen diesen Vorwurf verwahrt. 
Missbrauch sei die Ausnahme. Spätes- 
tens seit im Sommer 2017 der deutsch- 
türkische Schriftsteller Dogan Akhanlı 
aufgrund eines Interpol-Fahndungsauf- 
rufs der Türkei im Spanienurlaub fest- 
genommen wurde, stehen zumindest die 
deutschen Behörden vielem, was von In- 
terpol kommt, deutlich kritischer gegen- 
über. Interpol-Fahndungsersuche, die 
die Türkei oder Aserbaidschan verschi- 
cken, werden in Deutschland einer ver- 
tieften Prüfung unterzogen. Nun scheint 
sich auch bei Interpol selbst etwas zu 
bewegen. Jürgen Stock, Generalsekretär 
von Interpol und ein ehemaliger Vize- 
präsident des deutschen Bundeskrimi- 
nalamtes (BKA), hatte bei seinem Amts- 
antritt 2014 Reformen angekündigt. Im 
November 2016 wurde beschlossen, den 
Betroffenen erstmals wirksame Rechts- 
mittel einzuräumen, wie etwa das Recht 
auf Akteneinsicht, ebenso wie die Vorga- 
be, bestimmte Fristen einzuhalten. Die 
dafür zuständige Datenschutzkommissi- 
on von Interpol habe seitdem auch deut- 
lich mehr Angestellte, so eine Sprecherin 
der Organisation. 

Ein Beispiel für die Interpol-Verfol- 
gung von Dissidenten ist Dolkun Isa. 
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Zwei Tage lang saß dieser 2009 im Tran- 
sitbereich des Flughafens Seoul fest. 
Die südkoreanischen Behörden wollten 
Isa nach China deportieren, wo ihm 
eine lange Haft oder gar die Todesstra- 
fe drohte. Verhindert wurde dies - wohl 
nur knapp - durch die deutschen Dip- 
lomaten, die Isa letztlich in einen Flug 
zurück nach München setzten. Mehr als 
20 Jahre lang wurde Dolkun Isa per Red 
Notice von China über Interpol gesucht. 
Der Aktivist und heutige Präsident des 
„Weltkongresses der Uiguren” war Mitte 
der Neunzigerjahre aus China geflohen; 
er setzt sich seit Jahren für die Gleich- 
berechtigung des muslimischen Turk- 
volks ein. In Deutschland wurde er als 
politischer Flüchtling anerkannt, ist 
seit 2006 deutscher Staatsbürger und 
wohnt mit seiner Familie in München. 
Die Festnahme am Flughafen Seoul war 
nicht seine einzige. 2005 wurde er in 
Genf und zuletzt im Sommer 2017 in 
Italien kurzzeitig verhaftet. In die USA 
und in die Türkei wurde ihm die Einreise 
verweigert, von Indien ein bereits aus- 
gestelltes Visum wieder entzogen. Isa 
sei ein Terrorist, sagte der Sprecher des 
chinesischen Außenministers im Juli 
2017, die internationale Gemeinschaft 
müsse eng zusammenarbeiten, um ihn 
seiner gerechten Strafe zuzuführen. Seit 
Herbst 2016 ist Meng Hongwei, Chinas 
Vizeminister für öffentliche Sicherheit, 
neuer Präsident von Interpol. „Chinas 
Arm”, sagt Dolkun Isa, „istimmerlänger 
geworden”. 

Ende Februar 2018 erhielt Dolkun Isa 
nun Nachricht aus Lyon. Interpol habe 
entschieden, dass seine Verfolgung 
durch China eine „überwiegend politi- 
sche Dimension” habe. China verstoße 
damit gegen die Regeln der Polizeior- 
ganisation, die in Fällen politischer 
Verfolgung nicht tätig werden darf. Isa 
ist überrascht; nach der Ernennung von 
Meng Hongwei zum Präsidenten habe er 
erstrecht nicht mehr mit einer positiven 
Entscheidung gerechnet. Dass es mehr 
als 20 Jahre dauerte, bis Isas Eintrag ge- 
löscht wurde, hat mit unzureichenden 
Beschwerdemechanismen bei Interpol 
zutun und mit der bisher fehlenden Ein- 
sicht, überhaupt ein Problem zu haben. 
Mehrmals hatte Dolkun Isa Anträge auf 
Akteneinsicht bei der Datenschutzkom- 
mission gestellt, sie wurden ihm verwei- 
gert. Einmal musste Isa 24 Monate auf 


eine Antwort von Interpol warten. Dann 
hatte China Inhalte des Fahndungsge- 
suchs sperren lassen. Gegen Vorwürfe, 
die man nicht kennt, kann man sich 
nicht verteidigen. 

Die Londoner Menschenrechtsorga- 
nisation „Fair Trials“, die außer Dolkun 
Isa viele unschuldig über Interpol Ver- 
folgte betreut, sieht die Löschung sei- 
ner Fahndung als Zeichen, dass diese 
Reformen bei Interpol nun greifen. Isa 
ist nicht der einzige Klient, der eine po- 
sitive Nachricht erhalten hat, sagt der 
Geschäftsführer Jago Russels. Interpol 
habe damit begonnen, Altfälle aufzu- 
arbeiten, bestätigen auch Justizkreise. 
Dass Unschuldige wie Dolkun Isa oder 
Dogan Akhanlı überhaupt auf die Most- 
Wanted-Liste geraten, vermag Interpol 
weiterhin nicht zu verhindern (Kampf, 
Eintrag gelöscht - nach 20 Jahren, SZ 
13.03.2018, 6). 


Österreich 


Kurzfristig wurde DSGVO- 
Umsetzung sehr weit- 
gehend verwässert 


Kurz vor der direkten Anwendbarkeit 
der europäischen Datenschutzgrund- 
verordnung (DSGVO), am 20.04.2018 
beschloss der Nationalrat Österreichs 
und am 26.04.2018 der Bundesrat mit 
der Mehrheit der Regierungsparteien 
ÖVP und FPÖ erneut Änderungen des 
Datenschutzrechts, um der DSGVO den 
neuen Biss und die Wirksamkeit zu neh- 
men. Die meisten Verstöße werden da- 
rüber für straffrei erklärt; Datenschutz- 
NGOs wird die Möglichkeit verweigert, 
Schadenersatzansprüche zu stellen. Ne- 
ben dem Datenschutzgesetz (DSG) wur- 
den noch mehr als 140 weitere Gesetze 
überarbeitet. 

Seit dem 25.05.2018 gilt die DSGVO, 
die drakonische Sanktionen bei Da- 
tenschutzverstößen vorsieht, auch in 
Österreich. Doch dort soll es Strafen in 
aller Regel nur für Wiederholungstäter 
geben; selbst davon gibt es Ausnahmen. 
Öffentliche Einrichtungen sollen immer 
straffrei davonkommen. Für Spione - 
auch von ausländischen Nachrichten- 
diensten - ist eine Generalausnahme 
vorgesehen. Hinzu kommen Erleich- 
terungen für Videoüberwachung und 
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deren Auswertung. Und wer vor dem 
25.05.2018 den Datenschutz verletzte, 
wird nach der alten oder neuen Rechts- 
lage (nicht) bestraft, je nachdem, was 
für den Täter günstiger ist. Die Rege- 
lung, dass gemeinnützige Organisatio- 
nen, die im Auftrag betroffener Bürger 
Datenschutzverletzungen zur Anzeige 
bringen, von den Tätern keinen Scha- 
denersatz verlangen dürfen, trifft bei- 
spielsweise die Initiative noyb (none 
of your business) von Max Schrems, 
der durch mehrere Verfahren gegen Fa- 
cebook bekannt geworden ist und mit 
dieser NGO Sammelklagen durchführen 
möchte. 

Völlig neu ist ein Journalisten-Privi- 
leg, wonach Medien personenbezogene 
Daten für journalistische Zwecke verar- 
beiten und dabei die Kapitel II, III, IV, 
V, VI, VII und IX der DSGVO ignorieren 
dürfen. Die Datenschutzbehörde muss 
das Redaktionsgeheimnis berücksich- 
tigen. Für wissenschaftliche, künstle- 
rische und literarische Zwecke gilt ein 
schwammig gefasstes Privileg bei der 
Verarbeitung personenbezogener Da- 
ten. Ausgewählte Teile der DSGVO fin- 
den dabei keine Anwendung, „soweit 
dies erforderlich ist, um das Recht auf 
Schutz der personenbezogenen Daten 
mit der Freiheit der Meinungsäußerung 
und der Informationsfreiheit in Ein- 
klang zu bringen”. 

Bereits 2017 war ein weitgehend ge- 
lockertes Sonder-Datenschutzregime 
für Strafverfolger und Strafvollzug be- 
schlossen worden. Die jüngste Novelle 
erweitert diese Privilegien auf Spiona- 
ge und „militärische Eigensicherung”. 
Diese sollen offenbar für Spione aller 
Staaten gelten; eine Einschränkung 
auf österreichische Nachrichtendiens- 
te gibt es nicht. Sogar private Spiona- 
gedienste kommen in den Genuss der 
weitgehend gelockerten Datenschutz- 
auflagen, wenn sie im Auftrag eines EU- 
Mitgliedsstaates spionieren. Wenn die 
Polizei die für sie geltenden relativ lo- 
ckereren Bestimmungen verletzt, muss 
sie keine wirksamen Strafen fürchten. 
In 8 30 Abs. 5 des DSGVO-Umsetzungs- 
gesetzes heißt es: „Gegen Behörden und 
öffentliche Stellen, die insbesondere in 
Formen des öffentlichen Rechts, sowie 
des Privatrechts eingerichtete Stellen, 
die im gesetzlichen Auftrag handeln, 
und gegen Körperschaften des öffentli- 
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chen Rechts können keine Geldbußen 
verhängt werden.” 

Für private Datenverarbeiter werden 
in & 11 der DSGVO die Zähne gezogen, 
um die „Verhältnismäßigkeit” des Stra- 
fenkatalogs der DSGVO (Art. 83) zu si- 
chern: „Insbesondere bei erstmaligen 
Verstößen wird die Datenschutzbehörde 
im Einklang mit Art. 58 DSGVO von ih- 
ren Abhilfebefugnissen insbesondere 
durch Verwarnen Gebrauch machen.” 
Es soll das Grundprinzip „Verwarnen 
statt Strafen” gelten. Nur besonders 
hartnäckige Täter, die keine Behörde 
sind, sollen belangt werden können. 
Von der rechtskonservativen Koalition, 
die sonst gerne Strafverschärfungen be- 
schließt, wurden bei der DSGVO also die 
Samthandschuhe ausgepackt. Gestri- 
chen wurde ein im Vorjahr beschlosse- 
nes Privileg für Arbeitnehmervertreter. 
Nach Ansicht von Max Schrems sind 
die Regelungen europarechtswidrig, 
weil gemäß der DSGVO die Strafen „in 
jedem Einzelfall wirksam, verhältnismä- 
Rig und abschreckend” sein müssen. Er 
nannte die Umsetzung eine „fast unga- 
rische Dreistigkeit”. 

Selbst wenn Unternehmen hartnäckig 
den Datenschutz verletzen, müssen sie 
sich in Österreich nicht fürchten, da ge- 
mäß einem schon 2017 beschlossenen 
& 30 DSG sie für Gesetzesverletzungen 
untergeordneter Mitarbeiter nicht be- 
straft werden können. Nur wenn das Ma- 
nagement oder eine unternehmensin- 
terne Kontrolleinrichtung wiederholt 
den Datenschutz verletzt, kann die Da- 
tenschutzbehörde Strafen aussprechen. 
Und verhängt eine andere Verwaltungs- 
behörde eine Verwaltungsstrafe, kann 
die Datenschutzbehörde ihrerseits nicht 
mehr strafen - egal, wiehoch die andere 
Verwaltungsstrafe war. Unternehmen, 
deren Management zum wiederholten 
Male den Datenschutz missachtete, sind 
also gut beraten, sich nach einer ande- 
ren Bestimmung mit einer kleinen Ver- 
waltungsstrafe sanktionieren zu lassen, 
um so endgültig den neuen, womöglich 
spürbaren Strafen der Datenschutzbe- 
hörde zu entgehen. 

Schon 2017 wurde Videoüberwa- 
chung zum Objekt- und Personenschutz 
weitgehend legalisiert, sofern kein ge- 
linderes Mittel zur Verfügung steht. 
Diese Einschränkung wurde nun gestri- 
chen, so dass Videoüberwachung auch 


dann zulässig ist, wenn es datenschutz- 
freundlichere Sicherheitsvorkehrun- 
gen gäbe. Zugleich wurde die Liste von 
ausdrücklich unzulässigen Bildverar- 
beitungen reduziert. Es sollte als unzu- 
lässig gelten, personenbezogene Fotos 
oder Videos mit anderen personenbezo- 
genen Daten abzugleichen. Dies ist nun 
nur noch unzulässig, wenn damit ohne 
Zustimmung der Betroffenen Persön- 
lichkeitsprofile erstellt werden sollen. 

Österreich hatte bereits 2017 das Da- 
tenschutzgesetz (DSG) aus dem Jahr 
2000 grundlegend neu gefasst und an 
die DSGVO angepasst. Noch vor dem 
Wirksamwerden am 25.05.2018 erstell- 
te die Regierung eine weitere Novelle, 
mit der auch einige Verfassungsbestim- 
mungen geändert werden sollten. Diese 
Novelle wurde öffentlich konsultiert, im 
zuständigen Verfassungsausschuss des 
Nationalrats diskutiert, dort mit den 
Stimmen von ÖVP, FPÖ und SPÖ bestä- 
tigt, und dem Plenum des Nationalrats 
als wichtigere Kammer des österreichi- 
schen Bundesparlaments zur Beschluss- 
fassung vorgelegt. 

Doch dann verweigerte die SPÖ ihre 
Zustimmung: Sie hatte einen (als Min- 
derheitenrecht konzipierten) Unter- 
suchungsausschuss über zweifelhafte 
Vorfälle im Inlands-Nachrichtendienst 
BVT beantragt, was von den Regierungs- 
parteien blockiert wurde. Da bekam die 
SPÖ Bedenken über die Verfassungsän- 
derungen beim Datenschutz. Ohne ihre 
Zustimmung haben die Regierungsfrak- 
tionen aber nicht genügend Stimmen 
für Verfassungsänderungen. Daraufhin 
brachten Abgeordnete von ÖVP und 
FPÖ einen Abänderungsantrag zu ihrer 
Novelle ein. Dabei entfernten sie nicht 
einfach die Verfassungsbestimmungen, 
sondern schrieben die Novelle gleich in 
weiten Teilen um. Am Ende stimmten 
die Nationalratsabgeordneten der Re- 
gierungsparteien ÖVP und FPÖ dafür, 
die Abgeordneten von SPÖ, Neos und 
der Liste Pilz dagegen. Experten wurden 
zum neuen Text nicht mehr angehört. 
Max Schrems von noyb kritisierte nicht 
nur den Inhalt, sondern auch die Mas- 
se an verabschiedeten Gesetzen, da da- 
durch der Überblick verloren gehe. Die 
unerwarteten Änderungen traten sämt- 
liche am 25.05.2018 in Kraft, nachdem 
der Bundesrat (Länderkammer), wo 
ÖVP und FPÖ über eine breite Mehrheit 
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verfügen, auch zustimmte (Sokolov, 
Keine Strafen: Österreich zieht neuem 
Datenschutz die Zähne, www.heise.de 
24.04.2018; Kaiser, Österreich verwäs- 
sert die EU-Datenschutzgrundverord- 
nung, netzpolitik.org 26.04.2018). 


Schweiz 


DNA-Phänotypisierung soll 
erlaubt werden 


Bisher ist es in der Schweiz erlaubt, 
anhand von kleinsten Abstrichen von 
Speichel, Sperma oder Haut eine Person 
zu identifizieren. Aus der DNA wird ein 
allgemeiner Fingerprint hergestellt und 
in einer zentralen Datenbank gespei- 
chert. Einzelne Gene eines Menschen auf 
individuelle Merkmale hin zu analysieren 
ist bisher verboten. Doch ist die Diskus- 
sion über genetische Phänotypisierung 
nun auch in der Schweiz angekommen. 
Auslöser ist der Fall Emmen: Im Juli 
2015 zerrte ein Mann eine junge Frau 
vom Fahrrad, vergewaltigte sie und ließ 
sie schwer verletzt zurück. Der Täter ist 
immer noch nicht gefasst. Die Hoffnung: 
Wenn die DNA Hinweise auf sein Ausse- 
hen gäbe, wäre er zu finden. 

Der Luzerner FDP-Politiker Albert Vi- 
tali, der das Opfer der Straftat persönlich 
kennt, hat einen Vorstoß ins Parlament 
gebracht, der erlauben soll, beischweren 
Verbrechen die DNA-Analyse auszuwei- 
ten: „Neu könnte man mit der sogenann- 
ten verschlüsselten DNA zum Beispiel 
die Augen- und Hautfarbe herausfinden, 
damit ein Robotbild erstellen und die Tä- 
terschaft viel genauer ermitteln.” Noch 
im Jahr 2018 soll ein Gesetzesentwurf in 
die Vernehmlassung gehen. 

Die DNA-Phänotypisierung ist ein 
Verfahren, mit dem Rückschlüsse aus 
dem Genom, also der DNA eines Indi- 
viduums, auf dessen äußere Merkma- 
le (Phänotyp) gezogen werden. Die 
Rechtsmedizin (Forensik) bedient sich 
in manchen Ländern bereits solcher 
Methoden zur Täterermittlung oder um 
Tatverdächtige auszuschließen (vgl. 
DANA 1-2018, 20 £.). 

Das Institut für Rechtsmedizin der 
Universität Bern verfügt über ein Gerät 
der neuesten Generation zur Durchfüh- 
rung solcher Analysen. Mitarbeitende 
haben es mit gemischtem Erfolg mit 
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ihrer eigenen DNA getestet: Silvia Utz, 
die Abteilungsleiterin, findet ihre eige- 
ne Auswertung gut. Demnach ergab die 
Vorhersage mit über 80% Wahrschein- 
lichkeit, dass sie blonde Haare habe. 
Die blauen Augen wurden sogar zu 96% 
vorausgesagt. Im Team gebe es aber 
auch Leute, die mit ihrer Vorhersage 
nicht ganz zufrieden sind: „Das Ganze 
ist heute also noch mit Vorsicht zu ge- 
nießen.” 

Mit einer recht hohen Zuverlässigkeit 
vorhersagen können die heutigen Ana- 
lysen auffällige Haarfarben, wie blond, 
rot oder schwarz und eine deutliche Au- 
genfarbe, wie blau und braun. Jedoch 
bei Mischformen, wie sie im mitteleuro- 
päischen Raum häufig vorkommen, wird 
die Aussage unzuverlässig, wie zum 
Beispiel bei bräunlichen Haaren oder 
grünen Augen. Über DNA-Analysen soll 
auch die biogeographische Herkunft ei- 
ner Person bestimmt werden. An der Be- 
stimmung anderer Eigenschaften, wie 
zum Beispiel des Alters einer Person, 
wird gearbeitet. 

Silvia Utz: „Sehr interessant für eine 
Ermittlung wäre ja die Körpergröße ei- 
nes Menschen. Diese kann man recht 
schlecht beeinflussen oder fälschen.” 
Allerdings habe sich herausgestellt, 
dass die Körpergröße nur etwa zu 80% 
genetisch bedingt sei; eine Rolle spiel- 
ten andere Faktoren wie zum Beispiel 
die Ernährung. Abgesehen von Augen- 
und Haarfarben seien Vorhersagen noch 
unsicher: „Die Erwartungen sind aktuell 
viel zu hoch, sie entsprechen nicht dem, 
was heute möglich ist.” 

Dennoch soll die Politik nun entschei- 
den, ob die DNA-Phänotypisierung der 
Verbrechensaufklärung dienen soll. Bal- 
thasar Glättli von den Grünen erklärte 
hierzu, dass noch Vorsicht angebracht 
ist aus zwei Gründen: Erstens, dass man 
übergeneralisiere und einen Generalver- 
dacht hege, und „dass die Leute dann 
beweisen müssen, dass sie unschuldig 
sind - und nicht mehr, dass der Staat 
beweisen muss, dass sie schuldig sind.” 
Dies sei ein grundlegendes Rechtsprin- 
zip. Man mache den Opfern zudem zu 
viel Hoffnungen: dass ein Phantombild 
erstellt werden könne, mit dem sich 
der Täter sehr schnell finden lasse: „Das 
wird auch weiterhin nicht der Fall sein“. 
Das Parlament muss jetzt entscheiden, 
ob und wenn ja welche Gene der DNA 


entschlüsselt werden dürfen und bei 
welchen Verbrechen (Schwerzmann, 
Gesetz zur DNA-Phänotypisierung ist in 
der Pipeline, www.srf.ch 04.04.2018). 


Wales 


Hohe Fehlerquote bei poli- 
zeilicher Echtzeit-Gesichts- 
erkennung 


Seit 2017 testet die Polizei in Wales 
ein System zur automatischen Gesichts- 
erkennung in Echtzeit. Beim Finale der 
Champions League in Cardiff lag sie in 
92% der Fälle falsch. Dies geht aus den 
Daten zu dem Pilotversuch des Systems 
hervor, welche die Polizei von Südwales 
veröffentlicht hat. Rund um das Spiel 
waren etwa 170.000 BesucherInnen 
in der Stadt und das System hat 2.470 
mögliche Treffer angezeigt, von denen 
sich aber 2.297 als falsch herausstell- 
ten. Ein Polizeisprecher verteidigte das 
System und die damals erzielte Treffer- 
rate von gut 7% und meinte, kein Sys- 
tem sei hundertprozentig korrekt. Nie- 
mand seiinfolge eines derartigen „False 
Positives” festgenommen worden und 
aus der Öffentlichkeit habe sich nie- 
mand beschwert. 

Die Polizei erklärt die hohe Fehlerrate 
beim Finale der Champions League mit 
der „schlechten Qualität” der Fotos, die 
von Europas Fußballverband UEFA, In- 
terpol und anderen Partnern geliefert 
worden seien. Bei anderen Rückgriffen 
auf die Technik gab es den Angaben zu- 
folge deutlich weniger angezeigte Tref- 
fer, aber meist immer noch mehr falsche 
als richtige. 

Schon bei Ankündigung des Tests 
kritisierten DatenschützerInnen, dass 
die rechtlichen Bestimmungen der zu- 
nehmend eingesetzten und weiterent- 
wickelten Überwachungstechnik nicht 
nachkämen. Die automatische Gesichts- 
erkennung generiere sensible Daten 
zu tausenden von Menschen und es sei 
nicht geklärt, was mit diesen gesche- 
hen werde. Angesichts der nun veröf- 
fentlichen Daten erklärte BigBrother- 
Watch: „Nicht nur ist die automatische 
Gesichtserkennung in Echtzeit eine 
Gefahr für Bürgerrechte, sie ist auch 
ein gefährlich ungenaues Polizeiwerk- 
zeug” (Holland, Gesichtserkennung bei 
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Champions-Leaque-Finale: Tausende 
fälschlich als Kriminelle identifiziert, 
www.heise.de 07.05.2018). 


USA 


„Golden State Killer” mit 
DNA-Beinahetreffer identi- 
fiziert 


In Kalifornien wurde im April 2018 
mit Hilfe eines Datenabgleichs über eine 
öffentlich zugängliche DNA-Datenbank 
der 72jährige Joseph James DeAngelo 
als Täter von mindestens 51 Vergewalti- 
gungen und 12 Morden identifiziert, die 
er von 1976 bis 1986 begangen hatte. 
Kunden der Gentest-Firma GEDMatch, 
die Familienforschung als Service an- 
bietet, laden ihre genetischen (DNA-) 
Daten in eine öffentlich zugängliche Da- 
tenbank hoch, um Verwandtschaftsver- 
hältnisse zu erkunden. Diese Gendaten 
haben sie zuvor von größeren Anbietern 
wie z. B. der Google-Tochter 23andMe 
analysieren lassen. 

Die Muttergesellschaft von Family- 
TreeDNA „Gene by Gene” hatte im März 
2017 eine gerichtliche Anordnung des 
Eastern District of California erhalten 
mit der Anforderung von „begrenzten 
Informationen” zu einem einzelnen 
Kundenkonto. Es ging, gemäß den An- 
gaben von Paul Holes, einem inzwischen 
ausgeschiedenen Ermittler der Staats- 
anwaltschaft des Contra Costa County 
District, konkret um das Auffinden des 
Namens des Täters über die Angaben zur 
Familienforschung: „Wir wollten sowohl 
die Identität wie auch die Kontodaten 
des Auftraggebers des Tests ausfindig 
machen“. 

Holes und seine Kollegen suchten nach 
Treffern in den Profilen der von Family- 
TreeDNA betriebenen öffentlichen Da- 
tenbank YSearch, in der genetische In- 
formationen des Y-Chromosoms gespei- 
chert sind, die vom Vater an den Sohn 
vererbt werden. Die Ermittler kannten 
aus Tatortspuren 67 genetische Marker 
im Y-Chromosom des Mörders. Alle drei 
Monate wurde gemäß der gerichtlichen 
Anordnung auf der Basis von 12 gene- 
tischen Markern ein Abgleich durchge- 
führt, bis es einen Treffer gab. Einer der 
Marker war für westeuropäische Abstam- 
mungen untypisch. Die Anforderung von 
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Angaben zum Probengeber und von Zah- 
lungsdaten erfolgte, weil Tests oft unter 
falschem Namen in Auftrag gegeben 
werden. Im konkreten Fall erfolgte die 
Zahlung durch eine Frau, die mit der DNA 
ihres Vaters Informationen zu ihrem Fa- 
milienstammbaum suchte. Dieser Vater 
war nach Aufforderung der Ermittler be- 
reit, seine DNA zur Verfügung zu stellen 
und es zeigte sich auf der Grundlage aller 
67 Marker, dass er nicht der Gesuchte ist, 
dass es aber einen gemeinsamen männ- 
lichen Vorfahr gab. Daraufhin wurde die 
Tochter kontaktiert und um weitere In- 
formationen zu ihrem Familienstamm- 
baum gebeten. 

Januar 2018 nutzten die Ermittler eine 
gekühlt aufbewahrte Genprobe eines 37 
Jahre alten Mörders in Ventura County in 
Südkalifornien. Mit diesen umfassenden 
DNA-Daten, ergänzt um die bekannten 
Daten des gesuchten Täters, war es den 
Ermittlern möglich, ein „Microarray” 
durchzuführen, bei dem parallel ein 
Detailabgleich mit mehreren Hundert- 
tausend Markern auf dem gesamten Ge- 
nom durchgeführt werden kann. Diese 
Technologie wird auch von genetischen 
Familienforschenden angewendet, um 
mögliche Verwandte zu finden. Die Er- 
mittler im Fall des Golden State Killers 
führten mit dem erstellten DNA-Profil 
unter falschen Angaben einen Abgleich 
bei GEDMatch durch. Will jemand eine 
Familienanalyse durchführen lassen, so 
muss der Kunde erklären, dass es sich 
um die eigenen Daten oder die einer 
Person handelt, für die er als gesetzli- 
cher Vertreter zur Eingabe und Abfrage 
berechtigt ist. Bei dem GEDMatch ergab 
sich der Verdacht, dass das verwendete 
Profil zu einem Cousin zweiten Grads des 
Mörders passte. In der folgenden Aus- 
wertung von Datenbanken und Lokal- 
zeitungen wurde mit Hilfe der erlangten 
Daten versucht, lebende Personen aus 
dem Familienstammbaum auszumachen, 
die in Verbindung standen zu den Orten, 
an denen sich die Morde und Vergewalti- 
gungen ereignet hatten. Zwar erwies sich 
der erste Treffer als falsch. Doch wurden 
sie über diesen primären Verdächtigen 
auf dessen Bruder hingewiesen, der auch 
freiwillig seine DNA-Probe zur Verfügung 
stellte. Es dauerte weitere 4 Monate für 
ein Ermittlungsteam von 5 Personen, um 
vom Cousin dritten bzw. vierten Grads zu 
DeAngelo als neuem Hauptverdächtigen 


zu gelangen. Die Ermittler analysierten 
Material die DNA dieses Hauptverdäch- 
tigen und stellten nun eine vollständige 
genetische Übereinstimmung fest. 

Nachdem dieser Ermittlungserfolg 
bekannt geworden war, veröffentlichte 
GEDMatch mit Datum vom 27.04.2018 
folgenden Text: „Wir haben festgestellt, 
dass die GEDMatch-Datenbank zur 
Identifizierung des Golden State Killers 
genutzt wurde. Wir wurden nicht von 
Ermittlungsbehörden oder über sonst 
jemanden über den Fall oder die DNA 
angesprochen. Es gehört schon immer 
zur Politik von GEDMatch, seine Kunden 
darüber zu informieren, dass die Daten- 
bank für andere Zweck genutzt werden 
kann. Die Datenbank dient der Famili- 
enforschung, doch sollten die Teilneh- 
mer bei GEDMatch verstehen, dass ihre 
DNA für andere Zwecke einschließlich 
der Identifikation von Verwandten, die 
Verbrechen begangen haben oder Opfer 
von Verbrechen waren, genutzt werden 
kann. Sollten Sie solche Nutzungen, die 
mit Familienforschung nichts zu tun ha- 
ben, nicht wollen, so sollten Sie Ihre DNA 
nicht hochladen und/oder diese, wenn 
sie hochgeladen ist, löschen. Wenn Sie 
eine Löschung durchführen wollen, kon- 
taktieren Sie gedmatch@gmail.com.” 

Direkt nach der Festnahme des Ver- 
dächtigen erklärten die drei führen- 
den Genanalysefirmen in den USA, 
23andMe, Ancestry und FamilyTreeD- 
NA, dass sie nicht in die Ermittlungen 
einbezogen waren. 23andMe hat mehr 
als 5 Mio. KundInnen, Ancestry.Com 
führte schon 10 Mio. Analysen durch. 
Gemäß einem Transparenzbericht von 
23andMe vom 15.12.2017 hatte das Un- 
ternehmen in den vergangenen 11 Jah- 
ren fünf Behördenanfragen zu 6 Kunden 
erhalten, ohne aber diesen Anforderun- 
gen nachzukommen. Doch bestätigten 
die Firmen, dass sie gerichtlichen An- 
ordnungen folgen würden. 

Der konkrete Fall des Golden State 
Killers war nicht der erste, bei dem einer 
gerichtlichen Anforderung entsprochen 
wurde. So erhielt Ancestry im Jahr 2014 
einen Gerichtsbeschluss zur geneti- 
schen Identifizierung in der Sorenson 
Molecular Genealogy Foundation Daten- 
bank, die das Unternehmen kurz zuvor 
erworben hatte. Die gesuchten Genmar- 
ker aufdem Y-Chromosom gehörten zum 
Vater von Michael Usry, einem Filmpro- 
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duzenten in New Orleans. Die Polizei 
erzielte einen Beinahetreffer zu einer 
Samenprobe, die von der Ermordung 
von Angie Dodge im Jahr 1996 stammte. 
Dodge war in ihrer Wohnung erstochen 
worden. Der zunächst verdächtigte Usry 
wurde nach einer umfassenderen Gen- 
analyse entlastet. Nach den Erfahrun- 
gen mit diesem Fall, so ein Sprecher von 
Ancestry, „haben wir dafür gesorgt, dass 
die Daten in der privaten Verfügungs- 
macht der Kunden verbleiben“. Es habe 
sich um die einzige rechtsförmliche 
Anfrage gehandelt, die Ancestry bisher 
erhalten habe. 

Die genetische Familienforscherin 
CeCe Moore, Gründerin von DNA De- 
tectives, einer Gruppe, die Adoptierten 
hilft, ihre biologischen Eltern oder aus 
den Augen verlorene Verwandte zu fin- 
den, erklärte zu dem aktuellen Fall des 
Golden State Killers: „Ich hatte in den 
vergangenen Jahren schon viele schlaf- 
lose Nächte, dass dies einmal passieren 
würde.” Bei ihr hätten schon mehrfach 
Ermittlungsbehörden um Hilfe beim Lö- 
sen von Mord- und Vergewaltigungsfäl- 
len angefragt. Doch habe sie dies stets 
verweigert, „weil ich immer noch nicht 
mit den ethischen Fragen klarkomme, 
die sich bei der Verwendung von Famili- 
enforschungsdatenbanken zum Finden 
von Kriminellen stellen“. 

Der Fall löste in den USA eine heftige 
Debatte unter JuristInnen, Krimina- 
listInnen, Forschenden, Angehörigen 
von besonders diskriminierungsge- 
fährdeten Minderheiten und der Öf- 
fentlichkeit aus, welche unbeabsich- 
tigten Konsequenzen das Preisgeben 
von Gendaten haben kann und was in 
diesem Zusammenhang zulässig ist (Al- 
dous, Cops Forced A Company To Share a 
Customers’s Identity For The Golden Sta- 
te Killer Investigation, www.buzzfedd. 
com 01.05.2018; Kolata/Murphy, The 
Golden State Killer Is Tracked Trough a 
Thicket of DNA, and Experts Shudder, 
www.nytimes.com 27.04.2018). 


USA 


FDA erlaubt BRCA-Test ohne 
genetische Beratung 


Die US-Gesundheitsaufsichtsbehör- 
de, die Food and Drug Administration 
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(FDA), hat dem Google-Ableger 23and- 
Me den Verkauf eines Gentests erlaubt, 
mit dem drei Mutationen der Brust- 
krebsgene BRCA1 und BRCA2 festge- 
stellt werden. Diese Varianten sind in 
der jüdischen Ashkenazi-Bevölkerung 
weit verbreitet, in einem erheblich ge- 
ringeren Maß bei Menschen mit einem 
anderen ethnischen Hintergrund. Noch 
2013 hatte die FDA 23andMe verboten, 
jegliche Form von genetischen Gesund- 
heitstests für Endkunden anzubieten. 
2015 erhielt das Unternehmen die FDA- 
Erlaubnis für die Testung ohne ärztliche 
Verschreibung des Bloom-Syndroms so- 
wie 2017 für Risikoberichte zur Parkin- 
son- und zur Alzheimer-Krankheit. Bei 
Frauen mit bestimmten Genvarianten 
besteht eine 45%- bis 85%-Wahrschein- 
lichkeit für eine Brustkrebserkrankung 
bzw. eine 44% bzgl. Eierstockkrebs. Be- 
kannt wurde der Fall von Angelina Jolie, 
die nach einem positiven Test auf ein 
BRCA-Gen eine doppelte Mastektomie 
vornehmen ließ. 

Anne Wojcicki, Mitgründerin und 
Chief Enterprise Officer von 23and- 
Me, erklärte dazu: „Es ist ein wichtiger 
Meilenstein für 23andMe und für die 
Verbraucher, als erstes und einziges 
Genanalyse-Unternehmen mit direk- 
ter Endkundenbeziehung von der FDA 
die Erlaubnis bekommen zu haben, das 
Krebsrisiko ohne ärztliche Verschrei- 
bung zu untersuchen.” Eric Topol vom 
Scripps Research Institute warnte da- 
gegen, dass der Test nur drei Mutatio- 
nen überprüft und so die Getesteten die 
falsche Vorstellung entwickeln können, 
keine gefährliche Mutation zu haben, 
„wobei sie möglicherweise eine andere 
von den hunderten Mutationen mit der 
gleichen Wirkung haben“. Mary-Claire 
King von der University of Washington 
wies auf die täuschende Wirkung dieses 
Tests hin: „Wenn Frauen eine ernsthafte 
Mutation haben und dies nicht wissen, 
können diese an Brust- oder Eierstock- 
krebs sterben, weil sie fälsch wegen des 
Testergebnisses annahmen, dass alles 
normal wäre”. 

Auch die FDA bestätigt, dass ein ne- 
gativer Befund nicht bedeutet, dass 
eine Person keine BRCA-Mutation in an- 
deren Genen mit Erkrankungsrisiko hat, 
die nicht getestet wurde. Kliniker dürf- 
ten auf der Grundlage dieses Tests nicht 
ihre Behandlung durchführen. Auch 


könne der Test keine ärztliche Beratung 
ersetzen. Auch Wojcicki meinte, dass ihr 
Test niemanden davon abhalten solle, 
an Brustkrebs-Screening-Maßnahmen 
teilzunehmen. 23andMe bietet direkt 
keine genetische Beratung an, sondern 
beschränkt sich auf Webseiten, auf de- 
nen die Bedeutung des Tests erklärt wird 
(genomeweb 07.03.2018, 23andMe’s 
Test OK’d; Zhang, 23andMe Will Now 
Test for BRCA Breast-Cancer Genes, 
www.theatlantic.com 06.03.2018). 


USA 


Protest gegen Zensus-Frage 
nach Staatsangehörigkeit 


Alle zehn Jahre verschickt die US- 
Bundesregierung in Washington einen 
Fragebogen an die Haushalte des Lan- 
des. Damit ermittelt sie nicht nur An- 
zahl der EinwohnerInnen, sondern auch 
weitere Daten, diez.B. als Grundlage für 
die regelmäßige Überprüfung der Wahl- 
kreise herangezogen werden. Auch die 
Zuweisung von Bundesgeldern an die 
Gliedstaaten stützt sich auf die Haus- 
haltszählung. 

Ende März 2018 gab das zuständige 
Handelsministerium bekannt, beim 
nächsten für das Jahr 2020 vorgesehe- 
nen Zensus eine neue Frage einzubau- 
en: jene nach der Staatsbürgerschaft. 
Diese Frage ist in vielen Ländern unum- 
stritten. Im Zensus der deutschen Bun- 
desregierung von 2011 fand sich eine 
entsprechende Frage gleich zu Beginn. 
In den USA löste die Ankündigung da- 
gegen Aufregung aus, weil sie die poli- 
tische Landschaft nachhaltig verändern 
könnte. Eine Reihe von zumeist demo- 
kratisch regierten Bundesstaaten, da- 
runter Kalifornien und New York, kün- 
digten an, dagegen zu klagen. Sie sehen 
hinter der neuen Erhebungsmethode 
ein politisches Manöver der Regierung 
von Präsident Donald Trump. 

Vermutet wird, dass besonders Ein- 
wanderer ohne gültige Aufenthaltspa- 
piere den Fragebogen nicht ausfüllen 
werden, weil sie befürchten, dass ihre 
Daten an die Migrationsbehörden wei- 
tergegeben werden und dass ihnen 
dann die Abschiebung drohen würde. 
So erklärte eine Frau aus Guatemala der 
Presse: „Ich würde darauf niemals ant- 
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worten, ich habe keine gültigen Papie- 
re“. Auch legale EinwanderInnen wür- 
den sich zweimal überlegen, ihre Daten 
an die Regierung weiterzugeben, sagte 
eine Sprecherin der Organisation Natio- 
nal Immigration Forum. Dafür seien das 
Misstrauen und die Angst zu groß. 

Nach Schätzungen des Pew-Instituts 
leben in den USA rund 22 Millionen 
EinwanderInnen, die keine US-ame- 
rikanische Staatsbürgerschaft haben. 
Gut die Hälfte davon besitzt keine gül- 
tigen Aufenthaltspapiere. Sollten sich 
viele dieser Menschen nicht am Zensus 
beteiligen, würde das zu gröberen Ver- 
zerrungen in der Haushaltserhebung 
führen. Bundesstaaten wie Kalifornien, 
in denen EinwanderInnen einen großen 
Anteil an der Bevölkerung ausmachen, 
könnten dann Sitze im Kongress verlie- 
ren. Dies ginge politisch zulasten der 
Demokraten. 

Der kalifornische Generalstaatsan- 
walt Xavier Becerra schrieb in seiner 
Klage gegen die Entscheidung, das Vor- 
gehen der Trump-Regierung sei verfas- 
sungswidrig. Mit ihrem „willkürlichen” 
Akt unterlaufe die Regierung die Aufla- 
ge, alle BewohnerInnen des Landes zu 
erfassen. Maura Healey, Generalstaats- 
anwältin von Massachusetts, sprach von 
einem „durchsichtigen und illegalen 
Versuch” der Regierung, den Zensus für 
ihre politischen Ziele zu kapern. 

In der Haushaltsbefragung werden 
die Amerikaner regelmäßig nach ih- 
rer ethnischen Zugehörigkeit gefragt. 
Die Staatsangehörigkeit wurde jedoch 
letztmals im Jahr 1950 erhoben. Es gehe 
darum, möglichst genaue Daten zu er- 
halten, um gegen Wahlbetrug vorgehen 
zu können, verteidigten Regierungs- 
vertreter die Maßnahme. Nach einem 
Bericht der Recherche-Plattform Pro 
Publica hatten sich Beamte der Zensus- 
behörde gegen den Schritt gewehrt. Der 
Beschluss sei nach einer Intervention 
des Justizministeriums gefallen. 

Ob die Teilnahme der EinwanderIn- 
nen am Zensustatsächlich zurückgehen 
würde, ist umstritten. US-Handelsmi- 
nister Wilbur Ross verwies darauf, dass 
die Staatsbürgerschaft in anderen Um- 
fragen schon länger erhoben werde. 
Dort habe man keine geringere Beteili- 
gung festgestellt. Diese Umfragen ge- 
hen allerdings jeweils nicht an alle Ein- 
wohnerInnen des Landes. Zudem gibt 
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es für die Skepsis der Einwanderer his- 
torische Gründe. Während des Zweiten 
Weltkriegs lieferte die Zensurbehörde 
die Namen und Adressen von Einwohne- 
rInnen mit japanischen Wurzeln an die 
Geheimdienste. Nach dem Angriff auf 
Pearl Harbor schickte sie die Daten von 
japanischstämmigen AmerikanerInnen 
auch noch an die Armee. Tausende von 
ihnen landeten in Internierungslagern 
(Cassidy, Empörung über Zensus-Frage, 
SZ 29./30.03.2018, 8). 


Neuseeland 


Dotcom gewinnt im Aus- 
kunftsverfahren gegen 
Regierung 


Die Regierung Neuseelands muss 
Kim Dotcom umfangreiche Akten zur 
Verfügung stellen, die sie ihm seit 
2015 rechtswidrig vorenthält. Dazu 
kommt eine Entschädigung. Dotcom 
glaubt nun, seine Auslieferung an die 
USA verhindern zu können. Das Men- 
schenrechtsgericht des Landes (Human 
Rights Review Tribunal) entschied, dass 
die Regierung Neuseelands die Rechte 
des Klägers Dotcom verletzt hat, indem 
sie ihm die Herausgabe über ihn gespei- 
cherter Daten verweigert. Die Regierung 
soll Dotcom nun die bereits 2015 unter 
Berufung aufein Datenschutzgesetz an- 
geforderten Unterlagen geben. Zusätz- 
lich muss sie ihm 90.000 neuseeländi- 
sche Dollar (umgerechnet rund 53.000 
Euro) Entschädigung zahlen. Bereits vor 
längerer Zeit war festgestellt worden, 
dass die Regierung Dotcom illegal aus- 
spioniert und die Überwachung gegen- 
über Richtern verschwiegen hatte. 

Dotcom wollte die über ihn gespei- 
cherten Informationen insbesondere 
für das Gerichtsverfahren nutzen, in 
dem er sich seit 2012 gegen US-Aus- 
lieferungsersuchen zur Wehr setzt. Der 
Deutsche war noch nie in den USA. 
Dennoch will ihm die US-Regierung 
dort einen Strafprozess wegen Urhe- 
berrechtsverletzung, Racketeering und 
Geldwäsche machen. Ebenso sollen 
ehemalige Geschäftspartner Dotcoms 
ausgeliefert werden, die sich ebenfalls 
wehren. Dotcom freute sich über Twitter 
über die am 26.03.2018 veröffentlichte 
Entscheidung: „Durch die rechtswidrige 


Unterdrückung von Informationen, die 
mir in [meinem Auslieferungsverfah- 
ren] helfen könnten, hat [Neuseeland] 
den Verlauf des Gerichtsverfahrens per- 
vertiert”. Er sieht den Anfang vom Ende 
des Auslieferungsverfahrens gekom- 
men. Außerdem forderte er den neusee- 
ländischen Datenschutzkommissar zum 
Rücktritt auf. Der Beamte hatte nach 
einer Beschwerde Dotcoms für die Re- 
gierung entschieden - gemäß dem jetzt 
ergangenen Urteil zu Unrecht. Zudem 
werde er damalige Regierungsmitglie- 
der verklagen, die sich gegen die Aus- 
folgung seiner Daten ins Zeug geworfen 
hatten (Sokolow, Auskunft verweigert: 
Neuseeland muss Kim Dotcom entschä- 
digen, www.heise.de 26.03.2018). 


China 


Amnesty kritisiert Cloud- 
Umzug auf Regierungs- 
server 


Die Menschenrechtsorganisation Am- 
nesty International äußerte sich be- 
sorgt über die Verlagerung von iCloud- 
Daten auf chinesische Server: Dies kön- 
ne lokalen Behörden die Überwachung 
von Apple-Nutzenden ganz ohne eine 
Hintertür ermöglichen. Der Umzug von 
iCloud-Daten auf die Server einer chi- 
nesischen Firma „löst große Bedenken 
aus, dass Behörden Apple-Nutzer in 
China nun unbeschränkt überwachen 
können”. Apple müsse die Nutzerdaten 
auf staatliche Anordnung dann heraus- 
rücken und habe „wenige bis gar keine 
juristischen Wege“, um derartige An- 
fragen anzufechten. Apple speichert 
die für den Zugriff nötigen Schlüssel 
ebenfalls auf chinesischen Servern. So 
sei es „praktisch unumgänglich”, dass 
der Konzern gezwungen sein wird, ent- 
schlüsselte Daten herauszugeben. Ob 
Apple dabei in Erwägung ziehe, ob die 
Übermittlung der Nutzerdaten zu einer 
Menschenrechtsverletzung führen kön- 
nen, sei noch unklar, so Amnesty - es 
sei aber wohl nur eine Frage der Zeit, bis 
sich dies herausstellen werde. 

Zwar sei es „bewundernswert”, dass 
sich Apple klar gegen die Integration 
von Hintertüren in den eigenen Pro- 
dukten ausgesprochen hat. Dies sei 
aber letztlich „bedeutungslos”, wenn 
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Strafverfolger die entschlüsselten Da- 
ten auch einfach unter Verweis auf ein 
laufendes Ermittlungsverfahren erhal- 
ten können. Amnesty rät ebenso wie 
Reporter ohne Grenzen chinesischen 
iCloud-Nutzenden dringend dazu, ihre 
Landeseinstellungen zu ändern, um den 
Umzug der Daten auf chinesische Server 
zu verhindern. Apple sollte chinesische 
Nutzende dadurch schützen, iCloud 
standardmäßig nicht zu aktivieren und 
erst mit „klaren Warnungen auf die Ri- 
siken hinzuweisen“. Amnesty erklärte, 
der iPhone-Hersteller bezeichne Daten- 
schutz als „fundamentales Menschen- 
recht”. Nun müsse sich zeigen, „ob App- 
le den Worten auch Taten folgen lässt“. 
Der Umzug der iCloud-Daten auf die 
Server der chinesischen Firma Guiz- 


Technik-Nachr 


hou on the Cloud Big Data Industri- 
al Development Co. Ltd. (GCBD) fand 
am 28.02.2018 statt. GCBD gehört der 
Provinzregierung von Guizhou im Sü- 
den Chinas. Als Grund für den Umzug 
verweist Apple auf „lokale Cybersicher- 
heitsrichtlinien“. Der Kritik könnte 
sich Apple dadurch entziehen, dass 
sämtliche iCloud-Daten so verschlüs- 
selt werden, dass diese für Dritte gene- 
rell nicht zugänglich sind. Derzeit gilt 
dies nur für einzelne Dienste wie etwa 
den iCloud-Schlüsselbund. Andere auf 
iCloud gespeicherte Daten - darunter 
die umfangreichen iPhone-Backups - 
kann Apple bislang entschlüsseln (Be- 
cker, „Wenn Profit den Datenschutz be- 
droht”: Amnesty kritisiert Apple, www. 
heise.de 27.02.2018). 


chten 


Privatkunden-Gentests lie- 
fern oft falsche Resultate 


Gemäß einer Nachkontrolle einer 
Stichprobe von 49 kommerziellen Gen- 
analysen, die das Fachjournal „Gene- 
tics in Medicine” veröffentlichte, ent- 
halten 40% der Gentests, die Privatfir- 


men wie 23andMe direkt an KundInnen 
verkaufen, falsche positive Befunde, 
also z. B. Hinweise auf ein Krebsrisi- 
ko, das gar nicht besteht. Forschende 
warnen, dass Laien ohne ärztliche Be- 
ratung solche Ergebnisse kaum richtig 
einschätzen können (Der Spiegel Nr. 14 
31.03.2018, 90). 


Rechtsprechung 


BGH 


Verwertung von Dashcam- 
Aufzeichnungen bei Scha- 
denersatzprozessen zulässig 


Der VI. Zivilsenat des Bundesge- 
richtshofs (BGH) hat mit Urteil vom 
15.05.2018 entschieden, dass Dash- 
cam-Aufnahmen als Beweismittel im 
Unfallhaftpflichtprozess zulässig sein 
können, selbst wenn die Erfassung nach 
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Datenschutzrecht unzulässig ist (Az. VI 
ZR 233/17). Dem Kläger ging es in dem 
Verfahren gegen den Unfallgegner und 
dessen Haftpflichtversicherung nach ei- 
nem Verkehrsunfall um Schadensersatz 
in Höhe von 1.700 €. Die Fahrzeuge der 
Parteien waren innerorts beim Links- 
abbiegen auf zwei nebeneinander ver- 
laufenden Linksabbiegespuren seitlich 
kollidiert. Die Beteiligten streiten dar- 
über, wer schuld war. Die Fahrt vor der 
Kollision und die Kollision wurden von 
einer Dashcam aufgezeichnet, die im 


Fahrzeug des Klägers angebracht war. 

Das Amtsgericht hatte dem Kläger un- 
ter dem Gesichtspunkt der Betriebsge- 
fahr die Hälfte seines Gesamtschadens 
zugesprochen. Seine Behauptung, der 
Beklagte sei beim Abbiegen mit seinem 
Fahrzeug auf andere Fahrspur geraten, 
habe er nicht beweisen können. Der 
Sachverständige erklärte aus techni- 
scher Sicht die Schilderungen beider 
Parteien zum Unfallhergang prinzipiell 
für möglich. Das Beweisangebot des 
Klägers zur Verwertung der von seiner 
Dashcam gefertigten Bildaufnahmen 
wurde verworfen. Auch aufdie Berufung 
des Klägers erklärte das Landgericht 
(LG) Magdeburg, die Bildaufzeichnung 
verstoße gegen datenschutzrechtliche 
Bestimmungen und unterliege einem 
Beweisverwertungsverbot. Das LG ließ 
die Revision zu. 

Daraufhin hob der BGH das Beru- 
fungsurteil auf und verwies die Sache 
zur neuen Verhandlung und Entschei- 
dung an das LG. Er kam zum Ergebnis, 
dass die vorgelegte Videoaufzeichnung 
nach den geltenden datenschutzrecht- 
lichen Bestimmungen unzulässig sei, da 
sie nicht auf 8 6b Abs. 1 BDSG oder 8 28 
Abs. 1 BDSG (alt) gestützt werden kann. 
Jedenfalls eine permanente anlasslose 
Aufzeichnung des gesamten Gesche- 
hens auf und entlang der Fahrstrecke 
des Klägers sei zur Wahrnehmung seiner 
Beweissicherungsinteressen nicht er- 
forderlich, da es technisch möglich sei, 
eine kurze, anlassbezogene Aufzeich- 
nung unmittelbar des Unfallgeschehens 
zu gestalten, beispielsweise durch ein 
dauerndes Überschreiben der Aufzeich- 
nungen in kurzen Abständen und Aus- 
lösen der dauerhaften Speicherung erst 
bei Kollision oder starker Verzögerung 
des Fahrzeuges. 

Dennoch sei die vorgelegte Video- 
aufzeichnung als Beweismittel im Un- 
fallhaftpflichtprozess verwertbar. Die 
Unzulässigkeit oder Rechtswidrigkeit 
einer Beweiserhebung führe im Zivil- 
prozess nicht ohne weiteres zu einem 
Beweisverwertungsverbot. Es bedürfe 
einer Interessen- und Güterabwägung 
nach den im Einzelfall gegebenen Um- 
ständen. Der Kläger habe ein Interesse 
an der Durchsetzung seiner zivilrecht- 
lichen Ansprüche und an seinem im 
Grundgesetz verankerten Anspruch auf 
rechtliches Gehör in Verbindung mit 
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dem Interesse an einer funktionieren- 
den Zivilrechtspflege. Dies überwiege 
gegenüber dem allgemeinen Persön- 
lichkeitsrecht des Beweisgegners in sei- 
ner Ausprägung als Recht auf informa- 
tionelle Selbstbestimmung und ggf. als 
Recht am eigenen Bild. 

Das Geschehen ereignete sich im öf- 
fentlichen Straßenraum, in den sich 
der Beklagte freiwillig begeben habe. 
Er habe sich durch seine Teilnahme am 
öffentlichen Straßenverkehr selbst der 
Wahrnehmung und Beobachtung durch 
andere Verkehrsteilnehmer ausgesetzt. 
Es wurden nur Vorgänge auf öffentli- 
chen Straßen aufgezeichnet, die grund- 
sätzlich für jedermann wahrnehmbar 
sind. Rechnung zu tragen sei auch der 
häufigen besonderen Beweisnot, die 
der Schnelligkeit des Verkehrsgesche- 
hens geschuldet ist. Unfallanalytische 
Gutachten setzen verlässliche Anknüp- 
fungstatsachen voraus, an denen es 
häufig fehlt. 

Der mögliche Eingriff in die allge- 
meinen Persönlichkeitsrechte anderer 
(mitgefilmter) VerkehrsteilnehmerIn- 
nen führten zu keinem anderen Ergeb- 
nis, da deren Schutz durch das Daten- 
schutzrecht Rechnung getragen wird, 
das aber nicht auf ein Beweisverwer- 
tungsverbot abziele. Verstöße gegen die 
datenschutzrechtlichen Bestimmun- 
gen könnten mit hohen Geldbußen ge- 
ahndet werden. Im Übrigen könne die 
Aufsichtsbehörde mit Maßnahmen zur 
Beseitigung von Datenschutzverstößen 
steuernd eingreifen. Den Beweisinter- 
essen von Unfallgeschädigten werde zu- 
dem durch die Regelung des & 142 StGB 
(Unerlaubtes Entfernen vom Unfallort) 
ein besonderes Gewicht zugewiesen, 
wonach ein Unfallbeteiligter die Fest- 
stellung seiner Person, seines Fahr- 
zeugs und die Art seiner Beteiligung 
durch seine Anwesenheit und durch die 
Angabe, dass er an dem Unfall beteiligt 
ist, ermöglichen muss. Nach $ 34 StVO 
sind auf Verlangen der eigene Name und 
die eigene Anschrift anzugeben, der 
Führerschein und der Fahrzeugschein 
vorzuweisen sowie Angaben über die 
Haftpflichtversicherung zu machen. 

Mit dem Urteil beendete der BGH ei- 
nen langwährenden Streit über die Nut- 
zung von Dashcam-Aufnahmen. Volker 
Broo vom baden-württembergischen 
Landesbeauftragten für Datenschutz 


120 


plädierte dafür, nur die jeweils letz- 
ten 60 Sekunden festzuhalten und den 
Rest permanent zu überschreiben. Die 
Datenschutzbehörden sollten die Au- 
toindustrie auf solche Lösungen ver- 
pflichten. Die schleswig-holsteinische 
Datenschutzbeauftragte Marit Hansen 
hält die Schaffung einer neuen Rechts- 
grundlage für angezeigt, die mit der 
Automatisierung des Fahren ohnehin 
notwendig werde (BGH, PMNr. 88/2018 
v.15.05.2018, Verwertbarkeit von 
Dashcam-Aufnahmen als Beweismittel 
im Unfallhaftpflichtprozess; Janisch, 
Dashcam-Videos gelten als Beweise bei 
Unfällen, SZ 16.05.2018, 1). 


OLG Köln 


Privat-Router dürfen von 
Providern auch öffentlich 
genutzt werden 


Unitymedia Nordrhein-Westfalen darf 
gemäß einem Urteil des Oberlandesge- 
richts (OLG) Köln die Router, die das 
Unternehmen den Kundinnen stellt, 
für den Aufbau eines flächendecken- 
den WLAN-Netzes mittels eines zweiten 
WLAN-Signals („WifiSpots“”) nutzen (Az. 
6 U 85/17). Eine ausdrückliche Zu- 
stimmung der KundInnen („Opt in“) ist 
hierfür nicht erforderlich. Es muss aber 
für die KundInnen die jederzeitige Mög- 
lichkeit bestehen, durch einen Wider- 
spruch aus diesem System auszusteigen 
(„Opt out”). Geklagt hatte die Verbrau- 
cherzentrale Nordrhein-Westfalen (VZ). 
Die VZ vertrat den Standpunkt, dass für 
die Konfiguration eines zweiten Signals, 
das ein vom WLAN-Netz der KundIn 
(„ist SSID”) unabhängiges WLAN-Netz 
(„2nd SSID”) auf dem Router aktiviert, 
ihre ausdrückliche Zustimmung erfor- 
derlich sei. Dieser Argumentation war 
das Landgericht (LG) Köln gefolgt und 
hatte der Unterlassungsklage stattgege- 
ben (MMR 2017, 711). 

Auf die Berufung von Unitymedia hat 
das OLG das landgerichtliche Urteil auf- 
gehoben und die Klage der VZ abgewie- 
sen. Die Aufschaltung des zusätzlichen 
Signals sei keine unzumutbare Belästi- 
gung im Sinne von 8 7 Abs. 1 UWG. Zwar 
handele es sich hierbei um eine Belästi- 
gung. Der KundIn werde eine geschäft- 
liche Handlung aufgedrängt, um die sie 


nicht selbst nachgesucht hätte und für 
deren Vornahme auch deren Entschei- 
dung nicht abgewartet worden sei. Wie 
bei unbestellter Werbung müssten sich 
die KundIn mit der Maßnahme von 
Unitymedia befassen und ihr Aufmerk- 
samkeit zuwenden. 

Die Belästigung sei aber bei einer Ab- 
wägung zwischen den Interessen des 
Unternehmens und denen der Kunden 
nicht unzumutbar. Das Unternehmen 
habe ein berechtigtes Interesse, sein 
Dienstleistungsangebot durch Zusatz- 
funktionen auszuweiten. Außerdem 
gebe es ein Interesse der anderen Kun- 
dInnen, Wifi-Hotspots auch außerhalb 
der Privatwohnung zu nutzen. Demge- 
genüber sei die Belästigung der Kun- 
dInnen durch die Aufschaltung des 
zweiten Signals gering. Ihr Eigentums- 
recht seinicht betroffen, weil die Router 
unstreitig im Eigentum von Unitymedia 
stünden. Die Software könne ohne Mit- 
wirkung oder Störungen der KundlIn- 
nen aufgespielt werden. Anhaltspunkte 
für eine Sicherheitsgefährdung seien 
ebenfalls nicht vorgetragen worden. 
Schließlich bestehe für die KundInnen 
jederzeit die Möglichkeit, Widerspruch 
einzulegen, also aus dem von Unityme- 
dia betriebenen System wieder heraus- 
zuoptieren („Opt out”). Würde dieser 
Widerspruchsweg nicht eröffnet, wäre 
die Belästigung allerdings unzumutbar. 
Das OLG hat die Revision zum Bundes- 
gerichtshof zugelassen, weil die Frage, 
inwieweit die Nutzung von im Eigentum 
des Unternehmers verbleibenden Res- 
sourcen im Haushalt des Kunden zuläs- 
sig ist, über die Lösung des konkreten 
Falles hinausreicht (OLG Köln: Unityme- 
dia darf Kunden-Router für Aufbau flä- 
chendeckenden WLAN-Netzes nutzen, 
rsw.beck.de 02.02.2018). 


LG Berlin 


Facebook zur Rücknahme 
einer Löschung verpflichtet 


Mit Beschluss vom 23.03.2018 verbot 
das Landgericht (LG) Berlin als erstes 
Gericht in Deutschland Facebook, ei- 
nen Nutzerbeitrag zu löschen (Az. 31 0 
21/18). Das LG entschied, dass das so- 
ziale Netzwerk den Beitrag wieder frei- 
schalten muss. In dem Post ging es un- 
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teranderem um angebliche „Fake-News” 
von „Systemmedien”. Damit stieß erst- 
mals die neue Kommentar-Lösch-Politik 
der sozialen Netzwerke an Grenzen. Mit 
dem „Netzwerkdurchsetzungsgesetz” 
(NetzDG) werden Internet-Portale wie 
Facebook, Youtube, Twitter und andere 
verpflichtet, rechtswidrige Kommenta- 
re großteils innerhalb von 24 Stunden 
zu löschen. KritikerInnen monierten 
während der Gesetzgebung, dass damit 
Netzwerke zu Zensurbehörden würden: 
Sie hätten große Anreize, Nutzerbei- 
träge zu löschen. Dagegen stünden nur 
kleine Anreize, die Beiträge stehen zu 
lassen. 

Im konkreten Fall ging es nicht um 
eine rechtswidrige Äußerung. Der Nut- 
zer aus Berlin hatte einen Zeitungs- 
artikel, in dem es unter anderem um 
Äußerungen des ungarischen Minister- 
präsidenten Viktor Orban zur Aufnahme 
von Flüchtlingen in Deutschland ging, 
kommentiert: „Die Deutschen verblö- 
den immer mehr. Kein Wunder, werden 
sie doch von linken Systemmedien mit 
Fake-News über ‚Facharbeiter‘, sinkende 
Arbeitslosenzahlen oder Trump täglich 
zugemüllt.” Der Kommentar war von Fa- 
cebook unter Hinweis auf einen Verstoß 
gegen die Gemeinschaftsstandards des 
Online-Netzwerks gelöscht worden und 
der Nutzer wurde für 30 Tage gesperrt. 
Den Anwälten des Nutzers zufolge hob 
Facebook nach einer Abmahnung die 
Sperre auf, die Löschung aber nicht. Zur 
Begründung habe es geheißen, eine er- 
neute sorgfältige Überprüfung habe er- 
geben, „dass die Gemeinschaftsstandards 
korrekt angewendet worden waren und 
der Inhalt daher nicht wiederhergestellt 
werden kann“. Die Gemeinschaftsstan- 
dards - also die Hausregeln von Facebook 
- verbieten unter anderem Hassbotschaf- 
ten und Gewaltaufrufe. Facebook war in 
dem Verfügungsverfahren nicht gehört 
worden und kann Rechtsmittel gegen die 
Entscheidung einlegen. 


Jetzt DVD-Mitglied werden: 


Das LG begründete seinen Beschluss 
nicht. Die Äußerung des Antragstellers 
war zweifellos nicht besonders klug; 
die meisten Deutschen dürften ihr wohl 
widersprechen. Das Wort „Systemme- 
dien“ stellt ihn zudem in die Tradition 
des Wortes „Systempresse”, das in den 
zwanziger Jahren die Nazis geprägt ha- 
ben. Dennoch hätte der Kommentar, so 
das LG, nicht gelöscht werden dürfen. 
Einer der Anwälte des Berliners, Joa- 
chim Steinhöfel, kommentierte den Be- 
schluss: „Man mag die Einschätzung des 
Kommentators teilen oder die Äußerung 
als polemisch und unsachlich erachten. 
Wichtig ist nur: Der Kommentar ist von 
der Meinungsfreiheit gedeckt.” 

Das NetzDG, das vom damaligen Jus- 
tizminister Heiko Maas (SPD) durchge- 
setzt worden ist, stieß auf massive Kri- 
tiker wegen der Gefahr des sogenanntes 
Overblockings: Aus Angst vor recht- 
lichen Konsequenzen würden soziale 
Netzwerke eher zu viele Beiträge als zu 
wenig löschen und im Zweifel auch le- 
gale Inhalte entfernen. Unter dem Netz- 
DG müssen die Betreiber kurze Fristen 
einhalten. Ihnen drohen hohe Bußgel- 
der, wenn sie strafbare Inhalte stehen 
lassen. Steinhöfel: „Für das NetzDG ist 
die Entscheidung des Landgerichts eine 
Katastrophe”. Es ist allerdings unklar, 
ob Facebook den konkreten Kommentar 
auf Grundlage des NetzDG löschte. 

Steinhöfel ist kein Unbekannter. Er 
zieht seit Monaten als Verteidiger der 
Meinungsfreiheit durch Deutschland, 
oft eher für Meinungen, die politisch 
mehr oder weniger weit rechts der Mitte 
stehen. Zuvor hatte er sich als Rechts- 
anwalt der Media-Märkte einen Namen 
gemacht, der immer wieder mittelstän- 
dische Online-Händler für Formfehler 
abmahnte und sogar als Werbefigur im 
Fernsehen auftrat. 

Findet einE Nutzende, dass Facebook 
zu Unrecht ihr Konto gesperrt hat, 
kann sie im Hilfebereich der Webseite 


www.datenschutzverein.de 


ein Formular ausfüllen: Sie muss ihren 
Namen sowie E-Mail oder Handynum- 
merangeben und ein Bild des Personal- 
ausweises hochladen. Geht es dagegen 
um das Löschen von Text-Beiträgen, 
Fotos oder Videos, haben Nutzende 
kaum Chancen. Eine Facebook-Spre- 
cherin sagt: „Wenn Inhalte gelöscht 
werden, gibt es keine Einspruchsmög- 
lichkeit. Wir wissen: Das ist frustrie- 
rend.” Im Februar 2018 bemängelte die 
EU-Kommission, dass Facebook Nut- 
zenden nicht deutlich genug mache, 
wie sie sich gegen Löschungen wehren 
könnten. Oft erfährt das Unternehmen 
erst über Medien, dass fragwürdige Lö- 
schungen einzelne Nutzende wütend 
gemacht haben. 

Christian Solmecke, Anwalt für IT- 
und Medienrecht, erläuterte, dass Nut- 
zende vor Gericht Beiträge wiederher- 
stellen lassen könnten, wenn Facebook 
seinen Vertrag mit ihnen verletze, was 
bei der Löschung legaler Kommentare 
der Fall sei. Das könne auch als Ver- 
letzung des Persönlichkeitsrechts ge- 
wertet werden. Eventuell sei gar Scha- 
denersatz möglich. In einem Interview 
hatte Konzernchef Mark Zuckerberg 
Ende März 2018 darauf hingewiesen, 
dass Betroffenen sich gerichtlich zur 
Wehr setzen könnten. Die Chance, Be- 
rufung einzulegen, gehöre zu „jedem 
gut funktionierenden demokratischen 
System“. Irgendwann solle eine Art un- 
abhängiger Gerichtshof über entspre- 
chende Fälle entscheiden. Aber das ist 
noch Zukunftsmusik (Facebook darf 
Nutzer-Beitrag nicht löschen, www.faz. 
net, 12.04.2018; Einstweilige Verfü- 
gung gegen Löschung von Facebook- 
Kommentar, www.heise.de 12.04.2018; 
Strathmann, Gericht verbietet Face- 
book, Kommentar zu löschen, www. 
sueddeutsche.de 12.04.2018; Brühl, 
Was tun, wenn Facebook meinen Bei- 
trag löscht? SZ 14./15.04.2018, 10). 
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Buchner, Benedikt (Hrsg.) 

Der NEUE Datenschutz im 
Gesundheitswesen 

AOK-Verlag Remagen, 1. Aufl. 2018, 
ISBN 978-3-553-43100-2, 374 5., 89,90 € 


Kurz vor Inkrafttreten der DSGVO 
veröffentlichte der AOK-Verlag in einer 
gebundenen Version leicht angepass- 
te Auszüge aus der Loseblattsammlung 
„Datenschutz im Gesundheitswesen” 
(DANA 2017, 181). Damit soll insbe- 
sondere Datenschutzbeauftragten ein 
Überblick gegeben werden über die 
nun geltenden rechtlichen Grundlagen, 
zum Datenschutzmanagement sowie zu 
spezifischen Fragen beim Internetauf- 
tritt und zur IT-Sicherheit. Das Werk 
behandelt nicht nur das neue BDSG und 
das SGB, sondern berücksichtigt auch 
schon die Novellierung des & 203 StGB, 
die Outsourcing nicht mehr am Patien- 
tengeheimnis scheitern lässt. Anders 
als die Loseblattsammlung greift die 
gebundene „Broschüre“ den Bereich der 
Krankenhäuser heraus und berücksich- 
tigt nicht die spezifischen Probleme, die 
etwa in der Arztpraxis, bei der Pflege 
oder bei der Rehabilitation auftreten. 
Auch der technische Teil geht weniger 
ins Detail. Das Buch setzt keine Vor- 
kenntnisse voraus und ist als Praxisin- 
formation konzipiert. Für eine vertiefte 
wissenschaftliche Auseinandersetzung 
mit Themen fehlt es am Detaillierungs- 
grad und an einem umfangreicheren 
Nachweis auf weitere Literatur. Dessen 
ungeachtet liefern ein Stichwortregister 
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und ein Literaturverzeichnis die Mög- 
lichkeit zur gezielten Suche und für das 
Auffinden von weiterführenden Schrif- 
ten. Also: Trotz des beachtlichen Preises 
für AnfängerInnen und zum schnellen 
Nachschlagen eine valide Grundlage. 


Datenschutzrecht 


Kühling, Jürgen/Klar, Manuel/ 
Sackman, Florian 

Datenschutzrecht 

4. Aufl. 2018, 355 S., ISBN 978-3-8114- 
4571-0, 32,99 € 


(tw) In der DANA 1/2016 (S. 41 f) 
wurde schon die Vorauflage freundlich 
besprochen: Es geht um ein klassisches 
juristisches Lehrbuch zum Daten- 
schutzrecht, das sich seit der Vorauf- 
lage mit der Anwendbarkeit der DSGVO 
und des neuen BDSG, mit einer Menge 
neuer Rechtsprechung und einer kom- 
plizierter gewordenen Rangbeziehung 
zwischen Verfassungs- und Europarecht 
sowie nationalen Bundes- und Landes- 
gesetzen jüngst massiv geändert hat. 
An die Stelle der bisherigen Autoren 
Seidel und Sivridis sind dieses Mal ne- 
ben dem Inhaber des juristischen Lehr- 
stuhls Kühling die (früheren) Mitarbei- 
ter Klar und Sackmann für den Inhalt 
verantwortlich. Die Konzeption hat sich 
nicht geändert: Es ist insbesondere ge- 
eignet für die juristische Ausbildung, 
bei der das Datenschutzrecht als exo- 
tisches Rechtsgebiet immer noch eher 
ein Mauerblümchendasein fristet, aber 
auch für Quereinsteiger, die sich einen 
Überblick über das Gebiet schaffen wol- 


Buchbesprechungen 


len, also etwa betriebliche Datenschutz- 
beauftragte, Compliance-BeraterInnen 
in Unternehmen, RechtsanwältInnen, 
RichterInnen oder auch Ministerial- 
beamte, die erstmals mit dieser Thema 
etwas umfassender konfrontiert werden 
und möglicherweise mit dem Daten- 
schutzrecht noch nichts zu tun hatten. 

Das Buch ist übersichtlich struktu- 
riert in drei Kapitel: 1. Grundlagen, 2. 
das Zusammenspiel von DSGVO, BDSG 
und LDSGen sowie 3. bereichsspezifi- 
sche Regelungen (besondere Formen 
der Verarbeitung, öffentliche Sicherheit 
und Strafverfolgung und Telekommuni- 
kationsrecht). Bei den Grundlagen wird 
das internationale, das europäische und 
das Verfassungs-Recht sowie deren Ent- 
wicklung und Systematik dargestellt. 
Der zweite Hauptteil ist klassisch auf- 
gebaut und orientiert sich auch an der 
Struktur der DSGVO. In die Kapitel wird 
mit 15 Fallbeispielen eingeführt, die 
am Ende klausurmäßig gelöst werden. 
Dazwischen wird ein Themenbereich 
umfassend und zugleich prägnant sowie 
nachvollziehbar dargestellt. Dabei kann 
verständlicherweise nicht in die Tiefe 
gegangen werden. Zwar werden bei den 
Falllösungen auch unterschiedliche Lö- 
sungsmöglichkeiten dargestellt, doch 
die großen datenschutzrechtlichen 
Kontroversen werden in dem Lehrbuch 
nicht ausgetragen. Daher ist das Werk 
für die WissenschaftlerIn allenfalls als 
Einstieg geeignet; die technischen Fra- 
gestellungen kommen - angesichts der 
eindeutigen juristischen Ausrichtung 
- eher zu kurz. Doch wird auf aktuelle 
Literatur verwiesen, die ja mehr als üp- 
pig vorhanden ist, so dass die Tür zum 
Nachschlagen und Vertiefen geöffnet 
wird. Einige wenige Schaubilder und Ta- 
bellen erhöhen visuell das Verständnis; 
ein Stichwortverzeichnis ermöglicht 
thematische Seiteneinstiege. 

Auch wenn durchgängig in einem 
sachlichen Stil verfasst und vielleicht 
gerade weil keine skandalisierende oder 
komplizierende Darstellung erfolgt, 
macht das Buch Lust, sich mit dem kom- 
plizierten Rechtsgebiet zu beschäftigen 
und baut mögliche Einstiegsängste ab. 
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Insofern ist ihm zu wünschen, dass es 
insbesondere in der juristischen Studie- 
rendenschaft weite Verbreitung findet. 


Johannes, Paul C./Weinhold, Robert 
Das neue Datenschutzrecht bei 
Polizei und Justiz - Europäisches 
Datenschutzrecht und deutsche 
Datenschutzgesetze - 

Nomos Verlag Baden-Baden, 2018, 
ISBN 978-3-8487-4412-1, 249 S. 


(tw) Die Gesetzgebungsorgien im 
Datenschutz mit den diesen folgenden 
Auslegungsbedarfen haben kein Ende. 
Nachdem die europäische Datenschutz- 
Grundverordnung (DSGVO) und dann 
das diese umsetzende BDSG bis &$ 44 
umfangreich aber noch lange nicht 


Auch künftig bleibt also der Rückgriff 
auf die Darstellungen des Polizeirechts 
nötig. Das Werk beschränkt sich auf die 
Scharnierfunktion zwischen den Vorga- 
ben der JI-RL und dem in Deutschland 
vorläufig praktisch unverändert gel- 
tenden Polizeirecht mit seinen Daten- 
schutzregelungen. 

Dieses Scharnier ist relevant, da es 
die europäische Teilharmonisierung 
mit einer Angleichung an die DSGVO be- 
wirkt und weil es zugleich einen allge- 
meinen Teil für das spezifische für Jus- 
tiz und Inneres geltende Recht liefert. 
Die Autoren beschreiben dieses Schar- 
nier in drei Teilen. Im ersten Teil wird 
ein systematischer Überblick über das 
Gebiet vorgenommen, wobei die Dar- 
stellung weitgehend der Artikel- bzw. 
Paragraphenfolge der JI-RL bzw. des 3. 
Teils des BDSG folgt. In einem zweiten 
Teil ist eine Synopse abgedruckt, die 
JI- und die dazu passenden BDSG-Re- 
gelungen inclusive Erwägungsgründen 
darstellt. Der dritte Teil gibt eine Kurz- 
übersicht der Nummernzuordnung von 
JI-RL und BDSG. Das hört sich büro- 
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kratisch an; und dies ist es auch. Doch 
liefert das Buch damit das Material und 
den Schlüssel zur Europäisierung des 
Polizeirechts. Ohne dabei zu sehrin die 
Tiefe zu gehen, gibt es die nötigen Hin- 
weise, um praktisch mit dem dritten Teil 
des BDSG, also den JI-Regeln, arbeiten 
zu können. Dabei wird die vorhande- 
ne Literatur ausgewertet, und teils 
auch über Hinterfragungen so manche 
Umsetzung in ein kritisches Licht ge- 
setzt. Dabei verfolgen die Autoren eine 
grundrechtsfreundliche Sichtweise, die 
in nüchterner Weise vorgetragen wird, 
etwa die Kritik an den fehlenden Ab- 
hilfebefugnissen der Datenschutzauf- 
sicht. Sowohl die Art der Texterschlie- 
ßung wie auch die Präzision der Dar- 
stellung und die weiterführenden Hin- 
weise erfüllen nicht nur die Bedürfnisse 
von Praktikern, sondern auch von Wis- 
senschaftlern. Zugleich kann das Werk 
als Referenz genutzt werden, wenn nun 
die JI-RL auch im Landesrecht umsetzt 
wird, was gemäß dem Bundesvorbild 
zumeist in einem Extra-Teil der Landes- 
datenschutzgesetze erfolgt. 


DIE DEUTSCHEN JUSTIZMINISTER 


WOLLEN NACH DEM VORBILD ÖSTERREICHS 
PRAVENTIV JETZT SOGAR WOHNUNGS- 


WAS KOMMT ALS 


NÄCHSTES? PRÄVENTIVER 
FREIHEITSENTZUG OHNE 
RICHTERVORBEHALT ODER 
BEI „VERDACHT“ GAR PRÄVEN- 
TIVE GEZIELTE TÖTUNG? 


hinreichend ins Visier der Literatur ge- 
nommen wurde, geraten nun auch die 
Randthemen in den Fokus der Daten- 
schutzliteratur. Ein Ergebnis dessen ist 
das vorliegende Werk der zwei Autoren 
aus dem wissenschaftlichen Umfeld von 
Alexander Roßnagel. Der frühe Daten- 
schutzschwerpunkt „Polizei und Justiz” 
hat sich immer mehr in den privaten 
Bereich verlagert. Das Polizeidaten- 
schutzrecht hat aber nicht an Relevanz 
verloren. Das Buch befasst sich mit der 
europäischen Datenschutz-Richtlinie 
Justiz-Inneres (im Buch abgekürzt mit 
JI-RL) und deren nationale Umsetzung 
in den 88 45-85 BDSG, 3. Teil. 

Es handelt sich nicht um eine umfas- 
sende Kommentierung des Polizeida- 
tenschutzes. Die Komplexität stieg in 
diesem Bereich dadurch, dass zusätzlich 
zu den weiterhin bestehenden Polizei- 
gesetzen bzw. zur Strafprozessordnung 
die JI-RL gilt, die mit dem hinteren, 
dritten Teil des BDSG umgesetzt wird. 


EINBRÜCHE ZUM PLATZIEREN VON BUNDES- 
TROJANERN BEI GEFÄHRDERN ERLAUBEN !. 
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Wie wendet man eigentlich das 
„Grundrecht auf Gewährleistung 
der Vertraulichkeit und Integrität 

informationstechnischer Systeme“ 
bei Bundestrojanern an? 
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